我們一直在我們的代碼中使用fortify工具來檢查安全漏洞。我們能夠解決大部分問題,但是有一些問題我們發現很難解決。其中一個問題與訪問控制數據庫相關的問題有關.WE在我們的代碼中使用hibernate標準來從DB獲取記錄並foritfy抱怨說,從數據庫獲取並放置到程序中的數據是來自不可信source.Below是相同的代碼Fortify:訪問控制數據庫相關問題
Criteria criteria = hibernatessn.createCriteria("com.vish.Status")
critiera.list() ------>Here were get an error saying "data enters program from an untrusted source".
有沒有一種方法,我們可以表明鞏固該數據確實來自可信來源來嗎?
謝謝
簡答題 - 沒有。
稍微長一點的答案 - Fortify不知道您的數據源是否可信。您必須創建一個自定義過濾器來忽略該類別,或者只能忽略來自特定數據源的數據的自定義規則。
從歷史上看,如果您一遍又一遍地掃描相同的應用程序,我只記得當您看到它們時,這些發現是「不是問題」。
您可以控制的問題,面板是否列出了以下類型的問題:
壓抑問題
您可以標記,如果您確定特定的漏洞是不是抑制的問題,決不將會是一個問題。您可能還想要針對可能不是高優先級或直接關注的特定類型問題取消警告。例如,您可以抑制已修復的問題,或者您不打算修復的問題。抑制性問題不包括在問題面板中顯示的組總數中。這種方法可能是最好的,當你想完全消除這個問題的意識。
隱藏的問題
您可以隱藏一組問題暫時避免分心,你專注在其他地方。例如,您可以隱藏除分配給您的所有問題。分配給解決您隱藏在視圖中的問題的個人仍可以訪問它們。顯示在問題面板中的小組總計包括隱藏的問題。如果您在文件夾列表中發現要隱藏或指向其他文件夾的問題,可以使用過濾器嚮導創建新的過濾器。過濾器嚮導將顯示過濾器的所有具有匹配條件的屬性。文件HP_Fortify_Audit_Workbench_User_Guide_4.30的第29頁;本文檔與Fortify程序文件一起提供。如果您希望其他人瞭解這些問題,即使您忽略了這些問題,也可以選擇此替代方案。
刪除問題
這個選擇是不是你的情況特別相關,但我目前它的完整性的緣故。由於隨着時間的推移多個掃描項目運行,問題通常會得到補救或過時。由於它合併了掃描結果,因此靜態代碼分析器會標記先前掃描中未發現的問題,但在最近的SCA分析結果中顯示爲已刪除的問題。已刪除的問題不包含在「問題」面板中顯示的組總數中。由於您無意「修復」這個問題,因此它不會成爲「已刪除的問題」。 要顯示或隱藏壓縮,隱藏和刪除的問題,請使用選項菜單。您可以設置可見性過濾器以顯示或隱藏問題。
你不能說這是來自可靠的來源,但你可以創建一個自定義規則集,以消除即將到來的掃描中的所有這些問題。
如果您使用軟件安全中心存儲您的Fortify掃描,SSC會將您的審覈記錄從一次掃描記錄到下一次掃描。 – WaltHouser
我與南南合作的成績喜憂參半,最終決定利弊超過專業人士。 –