如何命名规则包?例如,我在软件安全中心(“SSC”)的管理视图中看到了5个规则包。规则包以名称中的.NET或Java命名。
规则包名称与正在进行的分析有1对1的关系吗?如果我希望仪表板显示对这些语言的分析,是否应该有Abap,C ++或Python规则包?
答案 0 :(得分:0)
根据您的HP合约,您可以为一种语言提供一个或多个规则包。对于某些语言,您只有核心编码规则,对于某些语言,您还有其他“扩展”编码规则。
答案 1 :(得分:0)
某些语言同时拥有核心和扩展版本,但其他只是一个或另一个。具体来说,所有规则包都是:
Core_abap Core_actionscript Core_android Core_annotations core_cfml core_cobol core_cpp extended_cpp core_dotnet extended_dotnet core_cobol core_java extended_java core_javascript core_objc core_php core_python core_sql extended_sql core_vb extended_config extended_content extended_jsp
某些语言可能出于不同的原因使用多个规则包,但如果您有javascript,那么您需要javascript规则包。除了单独支付的高级语言之外,基本合同将为您提供所有这些合同:
的ColdFusion ABAP COBOL 蟒
答案 2 :(得分:0)
您在SSC中看到的无法删除的五个规则包是"运行时"规则。 SCA规则不同,并且不包含在基本SSC安装中。您必须单击rulepack更新按钮才能从Internet上获取它们。
答案 3 :(得分:0)
(1)应将HP factory rulepack安装到~FORTIFY_HOME / Core / config / rules目录。您可以通过命令检查版本:
UNIX:grep -n -binary Version = /local/ssap/fortify-sca-3.80/Core/config/rules / * .bin
WINDOW:findstr / C:“Version =”d:\ fortify \ Core \ config \ rules * .bin
(2)您可以删除应用程序不使用的.bin文件(即SAP abap,coldfusion,python ...)。随意将custom_rule.xml添加到此文件夹。
(3)应将规则包安装到运行〜/ bin / sourceanalyzer的服务器上。您在SSC管理仪表板中看到的规则文件仅供用户下载/更新规则包。如果您不扫描SSC服务器并通过电子邮件将.zip文件分发给用户,则无需在SSC服务器上导入规则包。