强化SSC"攻击面"选项

时间:2015-01-02 19:52:35

标签: security fortify

当我使用Fortify SSC生成报告时,它会列出"攻击面"它进行了分析:

Attack Surface:
Command Line Arguments:
(list of classes)
File System:
(list of classes)
GUI Form:
(list of classes)
Java Properties:
(list of classes)

......等等。

在Eclipse插件中,我可以使用"审计指南"来过滤掉某些攻击面。菜单选项。因此,举例来说,我可以推断我的应用程序是针对系统所有者值得信赖的环境,因此命令行输入是值得信赖的 - 因此,我可以勾选"来自命令行输入" 34;隐藏这些问题。

但是我没有在Fortify SSC的Web版本上看到相同的选项,我们的管理员告诉我没有这样的选项。

我可以在Fortify项目协作中获得基于攻击面的等效问题吗?

2 个答案:

答案 0 :(得分:2)

审核指南只是一组可以打开和关闭的过滤器。 "来自命令行参数的污点"审核指南问题有一个过滤器taint:args。它会根据您在“审计指南”中检查或取消选中问题来显示或隐藏问题。由于没有SSC报告具有此切换功能,因此您必须为每个项目提供审核结果。如果要在SSC内部执行此操作,可以按照以下步骤手动禁止这些项目:

  1. 打开您的项目版本
  2. 点击审核问题
  3. 左下方有一个搜索框。将taint:args放在该框中,然后点击“搜索”按钮。
  4. 选择所有问题并根据您的审核标准进行标记。例如,将它们标记为“不是问题”,然后禁止它们。

答案 1 :(得分:1)

@James Nix'答案在技术上是正确的。

但更好的方法是: 1.在AWB中为FPR设置审核指南筛选器。 2.保存文件。 3.从Tools->Project Configuration上传您的过滤器设置到服务器。在服务器上,过滤器存储在"项目模板"宾语。 4.无论您在服务器上创建了哪个Project Template,都将其分配给项目。

现在,您在服务器上为该项目强制执行了所有过滤器。无论在FPR中应用了哪些过滤器,服务器的项目模板都将优先。