Изменить приоритет правила HP Fortify C - PullRequest
Новая
       9

Изменить приоритет правила HP Fortify C

0 голосов
/ 05 октября 2018

Мне было интересно, есть ли у кого-нибудь информация о том, как изменить приоритет правила в HP Fortify?

Например, в C категория «Неинициализированные переменные» имеет приоритет приоритета усиления LOW.Мне нужно изменить на ВЫСОКИЙ для целей аудита.Есть ли способ изменить правило или мне нужно создать новое правило?

Если мне нужно создать новое правило, как мне создать правило, которое соответствует «Неинициализированные переменные», и сделать его глобальным длядругие пользователи использовать?

1 Ответ

0 голосов
/ 11 октября 2018

Нет способа изменить существующий пакет правил.Но это нормально.Я могу предложить кое-что гораздо более простое, не связанное с попыткой создания или изменения пользовательских правил (которые могут стать очень грязными, если вы не будете осторожны).

Самое простое, что вы можете сделать, - это создать пользовательскоеФильтр папок.

  • Откройте FPR в Audit Workbench .Выберите правильный набор фильтров , который вы обычно используете.
  • Выбранный вами набор фильтров станет домом для нашего нового фильтра видимости .В качестве примера я буду использовать Security Auditor View .Затем выберите вкладку Фильтры и нажмите Создать новый фильтр .enter image description here
  • Используйте значения, показанные ниже, но при необходимости измените их, а затем нажмите Сохранить : enter image description here AtНа этом этапе вы должны увидеть результаты Неинициализированная переменная на вкладке High .

ОСОБЫЕ СООБРАЖЕНИЯ:

  • Это изменение в организации ваших Укрепляющих находок сейчас действует только для этого одного FPR.Если вы хотите, чтобы это правило фильтра существовало при сканировании других проектов, вам нужно будет изменить фильтры фортификации по умолчанию, создав нечто, называемое пользовательским шаблоном фортификации.Обратитесь к документации по укреплению, чтобы получить более подробную информацию по этому вопросу.

  • Если вы попытаетесь загрузить это в SSC (Центр безопасности программного обеспечения), где вам может потребоваться выполнить некоторые отчеты, то по умолчанию используется шаблон выпуска.это живет на SSC ​​будет использоваться для сортировки и организации проблем вашего сканирования, при создании отчетов.Если вы хотите, чтобы ваш новый настраиваемый шаблон вопросов для проблем использовался для составления отчетов и организации с помощью веб-интерфейса, вам потребуется переопределить шаблон проблем по умолчанию на сервере SSC с помощью нового настраиваемого шаблона проблем.Снова, смотрите вашу документацию для получения дополнительной информации по этому вопросу.

  • Наконец, есть способ потенциально создать собственное правило потока управления Fortify (которое нужно будет использовать вместе в комбинации,с правилом подавления), что позволит существенно переназначить метаданные приоритета для вашей конкретной проблемы, но это довольно сложно.

...