我是一名开发中型c#应用程序的开发人员,并且正在使用Visual Studio 2010的Fortify Secure编码插件定期进行静态代码分析。我们即将结束这个开发周期,并被要求向IA提供漏洞报告。
我之前没有提交过,而且IA似乎并不熟悉Fortify报告。我的计划是生成2或3份报告并提交给IA,以便他们决定哪种报告最适合他们使用。我不太确定哪些报告(有哪些选项)适合提交给IA。我还可以从Audit Workbench和SSC生成报告。
问题是,您的组织向您的IA商店提供哪些Fortify报告(使用哪些配置)?或者更一般地说,您向IA提供了哪种类型的静态分析漏洞信息?
提前谢谢你。
答案 0 :(得分:0)
我的猜测是“IA”代表“信息保障”。当你处理信息安全类型时,你需要精确的语言,因为他们需要。我正在从一个开发人员转变为一个有点信息的人,所以对我来说也是一个挑战。
IA团队已经要求您提供漏洞报告,这将是渗透测试的输出。渗透测试的输出将包括被证明可利用的弱点,而静态分析的静态安全评估将包括代码中不一定可利用的弱点。静态分析可以找到的问题类型也有限制,因此它绝不是动态评估或渗透测试的替代品。
许多公司要求将多种类型的分析结果作为批准申请的要求的一部分。有时会进行手动渗透测试,但通常使用扫描仪(如WebInspect或AppScan)扫描应用程序以代替手动笔测试。当Web应用程序扫描程序的结果与静态分析结果相结合时,它既包括代码中的潜在弱点,也包括已部署应用程序中的典型漏洞(在生产环境中运行时)。
您应该与您的IA团队合作,确定审核部署到生产的应用程序的过程,以及谁负责过程中的哪些步骤。您可能需要安排它们在您的QA或功能测试环境中对您的应用程序进行笔测试。
至于报告,如果他们想要静态分析的结果,我会考虑生成一个小于20页的报告,以便他们开始,其中包括Web应用程序中最常见的问题,假设您正在编写一个Web应用程序。我不赞成SSC中的CWE / SANS Top 25 2010报告,没有“详细报告”选项。
答案 1 :(得分:0)
我将使用SCA生成FPR,解压缩FPR文件(解压缩),打开audit.fvdl,解析漏洞XML标记以创建问题列表并将其上载到报告软件。如果需要某些翻译,可以在上传期间完成。您可以查看Sonar plugin如何执行此类操作。