Как я могу увидеть все правила Fortify Secure Coding Rules?
Я хочу увидеть конкретные правила Fortify Secure Coding Rules (правила, которые Fortify использует по умолчанию), потому что я хочу написать отчет обо всех правилах, которые использует Fortify:
- Я пытался увидеть их в
C:\Program Files\Fortify Software\HP Fortify v3.60\Core\config\rulesно я нашел.binфайлы, и я не могу их видеть. - Я тоже открыла
AuditWorkbenchи в управлении контентом безопасности я тоже их не вижу.
Есть ли способ их увидеть?? Спасибо за вашу помощь.
3 ответа
Если не считать специалиста по программному обеспечению в HP Fortify, нет. Правила по умолчанию считаются интеллектуальной собственностью HP Fortify, и никто за пределами Engineering не имеет к ним доступа.
Какую проблему вы пытаетесь решить с помощью этого отчета?
Поскольку HP/Fortify распространяет пакеты правил в виде двоичных файлов для защиты своей интеллектуальной собственности, вы не сможете увидеть, как пишутся отдельные правила.
Однако, если вы хотите включить некоторую информацию о том, какие правила / пакеты правил использовались, вы можете перейти к экрану сводки проекта и посмотреть, какие пакеты правил использовались во время сканирования. У вас также будет доступ к такой информации, как версия каждого пакета правил и дополнительные метаданные о каждом пакете.
Способность предоставить этот уровень детализации в мета-отчете может быть достаточной для упреждающих последующих вопросов. Просто мысль...
Встроенные правила Fortify недоступны для чтения и редактирования, поскольку они являются основной интеллектуальной собственностью инструмента.
Тем не менее, Fortify опубликовал классификацию сканируемых уязвимостей и их сопоставление с CWE:s. Ссылка здесь: https://vulncat.fortify.com/en/weakness