IA 용 SCA/SSC 보고서를 강화 하시겠습니까?

Question

저는 중간 크기의 C# 응용 프로그램을 개발중인 개발자이며 Visual Studio 2010 용 Fortify 보안 코딩 플러그인을 사용하여 정기적으로 정적 코드 분석을 수행하고 있습니다. 이 개발주기가 끝나고 IA에 취약성 보고서를 제공하라는 요청을 받았습니다.

이전에 제출할 필요가 없었으며 IA가 요새화 보고서에 익숙하지 않은 것으로 나타났습니다. 내 계획은 2 ~ 3 개의 보고서를 작성하여 IA에 제출하여 가장 적합한 것이 무엇인지 결정할 수 있도록하는 것입니다. IA에 제출할 보고서 (옵션 포함)가 어느 것인지 확실하지 않습니다. 또한 Audit Workbench 및 SSC에서 보고서를 생성 할 수있는 액세스 권한이 있습니다.

귀하의 조직에서 귀하의 IA 상점에 제공하는 요새 보고서는 어떤 구성 보고서와 관련됩니까? 또는 일반적으로 IA에 어떤 유형의 정적 분석 취약성 정보를 제공합니까?

미리 감사드립니다.

Answer 1

내 생각에 "IA"는 "정보 보증"의 약자입니다. infosec 유형을 처리 할 때는 언어가 정확해야합니다. 저는 개발자가되는 것에서 다소 infosec으로 전환하고 있습니다. 그래서 그것은 나에게도 도전이었습니다.

IA 팀이 침투 테스트의 결과물 인 취약성 보고서를 요청했습니다. 침투 테스트의 결과에는 악용 가능한 것으로 입증 된 취약점이 포함되지만 정적 분석의 정적 보안 평가에는 악용 될 필요가없는 코드의 약점이 포함됩니다. 또한 정적 분석에서 찾을 수있는 문제 유형에 제한이 있으므로 동적 평가 또는 침투 테스트를 대체 할 수있는 방법이 아닙니다.

많은 회사에서 응용 프로그램을 승인하기위한 요구 사항의 일부로 여러 유형의 분석 결과가 필요합니다. 수동 침투 테스트가 수행되는 경우가 있지만 WebInspect 또는 AppScan과 같은 스캐너를 사용하여 수동 펜 테스트 대신 응용 프로그램을 스캔하는 경우가 있습니다. 웹 응용 프로그램 스캐너의 결과를 정적 분석 결과와 함께 사용하면 배포 된 응용 프로그램의 일반적인 취약점 (프로덕션 환경과 같은 환경에서 실행 중일 때)뿐만 아니라 코드의 잠재적 인 취약점도 모두 해결됩니다.

IA 팀과 협력하여 프로덕션 환경에 배포 할 응용 프로그램을 확인하는 프로세스와 프로세스의 단계를 담당하는 담당자를 결정해야합니다. QA 또는 기능 테스트 환경에서 응용 프로그램의 펜 테스트를 수행하도록 일정을 잡아야 할 수 있습니다.

보고서의 경우 정적 분석 결과를 원한다면 20 페이지 미만의 보고서를 생성하여 웹 응용 프로그램의 가장 일반적인 문제를 포함하는 보고서를 생성 할 수 있습니다. 웹 응용 프로그램 작성. 나는 SSC의 CWE/SANS Top 25 2010 보고서의 "Detailed Report (세부 보고서)"옵션 없이는 부분적입니다.

Answer 2

나는 SCA로 FPR을 생성하고, FPR 파일 (압축 풀기)을 추출하고, audit.fvdl을 열고, Vulnerabilities XML 태그를 구문 분석하여 문제점 목록을 작성하고보고 소프트웨어에 업로드합니다. 일부 번역이 필요한 경우 업로드 중에 수행 할 수 있습니다. Sonar plugin이 이런 일을하는지 확인할 수 있습니다.