我正在尝试获取有关如何创建HP Fortify软件安全中心数据库存档的说明。我的参数是保持当前年份和过去两年。应该将早于此的任何内容放入存档中。有没有人有任何指示或能为我提供如何做到的步骤?谢谢!
答案 0 :(得分:2)
这取决于您是只需要保存漏洞数据,还是需要下载和归档最初上传的FPR文件。
<强>予。如果您需要FPR文件
我建议您联系Fortify专业服务。您需要进行Web服务编程才能获得这些较旧的FPR,但Web服务调用并非全部记录在案,并不总是按照文档记录的方式工作。所以把它作为惠普的问题。
如果查看fortifyclient程序,您将看到以下命令:
fortifyclient downloadFPR - 下载项目的最新FPR。
fortifyclient purgeProjectVersion - 清除在给定日期之前扫描的项目版本中的所有工件。
所以你可以看到这会让你获得80%的胜利。如果您downloadFPR,那么您将收到“项目文件”,其中包含所有最新的扫描信息,但也包含所有历史信息 - 但这当然与您的存档要求不同。
强化客户端可能没有文档参数但这不太可能。 Fortifyclient只是Web服务客户端实现的一个薄包装器。更有可能的是,有更多特定的Web服务调用来从数据库中选择特定的“工件”。
当您从Fortify SSC下载“项目文件”时,将从blob中检索部分文件,并从保存在数据库中的维度信息中随时为您构建其他部分。
当你下载一个“神器”,即未经修改的先前上传的文件时,我认为整个东西都存储在某处作为blob。但是需要一个或多个存储过程调用来生成可以保存的字节流。
我认为,在高层,您或Fortify专业服务部门希望: 1.对ARTIFACT表使用数据库查询以确定需要下载哪些工件ID 2.运行自定义Web服务调用以下载指定的工件。 3.运行purge命令删除已下载的数据。
<强> II。如果您只需要扫描和漏洞数据
这更容易,完全在数据库中完成。 1.检查SCAN表以查看扫描发生的各种日期。对于某些SSC日期值,您必须转换Java Epoch(自1970-01-01午夜以来的毫秒数)。 2.通过许多:许多SCAN_ISSUE表连接到您想要的SCAN行到ISSUE表,以获得每次扫描的完整Fortify报告的漏洞详细信息。请注意,每次扫描都会重新发现许多漏洞。 3.如果您还需要人工审核员记录他们的笔记和决定,您需要进一步加入AUDITANALYSIS表以获得“非问题”标志等。如果您需要此信息,我建议您去FOrtify专业服务,因为如果历史信息存在,它将非常复杂。 4.加入后,选择以上行。 5.从SCAN表中删除行,通过外键级联其他表中绑定的任何行。确保不要从ISSUE表中删除任何内容;这也将删除您当前的漏洞信息。
我对I或II的努力估计是10-15天。