当我使用Fortify SSC生成报告时,它会列出"攻击面"它进行了分析:
Attack Surface:
Command Line Arguments:
(list of classes)
File System:
(list of classes)
GUI Form:
(list of classes)
Java Properties:
(list of classes)
......等等。
在Eclipse插件中,我可以使用"审计指南"来过滤掉某些攻击面。菜单选项。因此,举例来说,我可以推断我的应用程序是针对系统所有者值得信赖的环境,因此命令行输入是值得信赖的 - 因此,我可以勾选"来自命令行输入" 34;隐藏这些问题。
但是我没有在Fortify SSC的Web版本上看到相同的选项,我们的管理员告诉我没有这样的选项。
我可以在Fortify项目协作中获得基于攻击面的等效问题吗?
答案 0 :(得分:2)
审核指南只是一组可以打开和关闭的过滤器。 "来自命令行参数的污点"审核指南问题有一个过滤器taint:args
。它会根据您在“审计指南”中检查或取消选中问题来显示或隐藏问题。由于没有SSC报告具有此切换功能,因此您必须为每个项目提供审核结果。如果要在SSC内部执行此操作,可以按照以下步骤手动禁止这些项目:
taint:args
放在该框中,然后点击“搜索”按钮。答案 1 :(得分:1)
@James Nix'答案在技术上是正确的。
但更好的方法是:
1.在AWB中为FPR设置审核指南筛选器。
2.保存文件。
3.从Tools->Project Configuration
上传您的过滤器设置到服务器。在服务器上,过滤器存储在"项目模板"宾语。
4.无论您在服务器上创建了哪个Project Template
,都将其分配给项目。
现在,您在服务器上为该项目强制执行了所有过滤器。无论在FPR中应用了哪些过滤器,服务器的项目模板都将优先。