更改HP Fortify C规则优先级
我想知道是否有人了解如何在HP Fortify中更改规则的优先级?
例如,在C中,类别“未初始化的变量”的防御优先级为LOW。我需要更改为HIGH以进行审计。有什么方法可以更改规则,还是需要创建新规则?
如果我需要创建一个新规则,我该如何制定一个与“未初始化的变量”匹配的规则,并使其成为全局的供其他用户使用?
1 个答案:
答案 0 :(得分:1)
您实际上没有办法修改现有规则包。但这没关系。我可以建议您进行一些简单的操作,而不涉及尝试创建或修改自定义规则(如果您不小心的话,可能会很混乱)。
最简单的操作是创建自定义文件夹过滤器。
- 在审核工作台中打开 FPR 。选择您通常使用的正确的过滤器设置。
- 您选择的过滤器集将位于
我们新的可见性过滤器。出于示例目的,我将使用 Security Auditor View 。然后选择过滤器标签,然后单击创建新过滤器。
- 使用下面显示的值,但如有需要,可以随时进行调整,然后单击保存:
此时,您应该可以在高标签中看到未初始化变量的发现。
特殊注意事项:
-
当前对Fortify Findings的组织所做的更改仅对这一FPR有效。如果您希望在扫描其他项目时使用此过滤器规则,则需要创建默认的“强化”问题模板来修改默认的强化过滤器。查看您的防御文档以获取更多信息。
-
如果您尝试将其上传到SSC(软件安全中心),您可能希望在其中执行一些报告,则生成时,将使用SSC上的默认“问题模板”来分类和组织扫描问题报告。如果希望将新的自定义Fortify问题模板用于通过Web UI进行报告和组织,则需要使用新的自定义问题模板覆盖SSC服务器上的默认问题模板。再次,请参阅您的文档以获取更多信息。
-
最后,有一种方法可以潜在地创建自定义Fortify控制流规则(将需要与抑制规则结合使用),从而可以从本质上为以下任务重新分配优先级元数据:您的特定问题,但这非常困难。
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?