내가 포티 SSC를 사용하여 보고서를 생성, 그것은 "공격면"이 분석 것을 보여줍니다.포티 SSC "공격면"옵션
Eclipse 플러그인에서 "감사 가이드"메뉴 옵션을 사용하여 특정 공격 표면을 필터링 할 수 있습니다. 따라서 예를 들어, 내 응용 프로그램이 시스템 소유자가 신뢰할 수있는 환경을 대상으로하므로 명령 줄 입력이 신뢰할 수있는 것으로 간주 할 수 있습니다. 따라서 "명령 줄 입력으로부터 손상"을 선택하여 해당 명령을 숨길 수 있습니다 문제.
그러나 웹 버전의 Fortify SSC에는 해당 옵션이 표시되지 않으며 관리자가 그러한 옵션이 없다고 알려줍니다.
공동 Fortify 프로젝트에서 이와 유사한 공격 표면 기반의 문제를 줄일 수 있습니까?
감사 가이드는 단순히 켜고 끄는 필터 세트입니다. "명령 줄 인수로 인한 손상"감사 가이드 질문에는 하나의 필터 taint:args이 있습니다. 감사 가이드에서 질문을 확인 또는 선택 취소하여 이슈를 표시하거나 숨 깁니다. 이 토글 기능을 가진 SSC 보고서가 없으므로 각 항목에 대한 감사 결과를 제공해야합니다. 당신이 SSC의 내부를하고 싶은 경우에, 당신은 수동으로 다음 단계를 수행하여 이러한 항목을 억제 할 수
taint:args을 입력하고 검색 버튼을 클릭하십시오.좋아요. 매우 감사합니다. – slim
@James Nix '대답은 기술적으로 정확합니다.
더 좋은 방법은 다음과 같습니다. 1. AWR에서 FPR에 대한 감사 가이드 필터를 설정하십시오. 2. 파일을 저장하십시오. 3. Tools->Project Configuration에서 필터 설정을 서버에 업로드하십시오. 서버에서 필터는 "프로젝트 템플릿"개체에 저장됩니다. 4. 서버에 생성 한 Project Template을 프로젝트에 할당하십시오.
이제 모든 필터가 서버의 해당 프로젝트에 적용됩니다. FPR에 어떤 필터가 적용 되더라도 서버의 프로젝트 템플릿이 우선적으로 적용됩니다.
downvote가 나를 웃게했습니다. Fortify SCA 질문은 스택 오버플로에서 잘 수신되지 않습니다. 심지어는 주제가 아닌 것으로 폐쇄 된 사람도있었습니다. 대부분의 개발자가 사용하는 엔지니어링 프로세스에 대해 뭐라고 말합니까? – jww
이것은 매우 훌륭하고 흥미로운 질문입니다. –