Fortify：与访问控制数据库有关的问题

Question

我们一直在代码中使用强化工具来检查安全漏洞。 我们能够解决大多数问题，但是发现有些问题很难解决，其中一个与访问控制数据库相关的问题有关，我们在代码中使用休眠条件从DB中获取记录并foritfy抱怨从数据库获取并放入程序的数据来自不受信任的来源。下面是相同的代码

Criteria criteria = hibernatessn.createCriteria("com.vish.Status")
critiera.list() ------>Here were get an error saying "data enters program from an untrusted source".

有没有办法表明数据确实来自可信来源？

谢谢

Answer 1

简短答案-不。

答案略长-Fortify不知道您的数据源是否受信任。 您可能必须创建一个自定义过滤器以忽略该类别，或者必须创建一个自定义规则以仅忽略来自特定数据源的数据。

从历史上讲，如果您要一遍又一遍地扫描同一个应用程序，我只记得当您看到这些发现时，这些发现是“不是问题”。

Answer 2

您可以控制问题面板是否列出以下类型的问题：

受抑制的问题

如果您确定特定漏洞不是（也永远不会）成为关注点，则可以将问题标记为“已抑制”。 您可能还希望取消针对可能不是高优先级或紧迫关注的特定类型问题的警告。 例如，您可以消除已解决的问题，或者不打算解决的问题（对于您而言）。 被抑制的问题不包括在“问题”面板中显示的组总计中。 当您想完全消除对该问题的意识时，这种方法可能是最好的。

隐藏的问题

您可以暂时隐藏一组问题，以避免在其他地方集中精力。 例如，您可以隐藏分配给您的所有问题。 被分配来解决您在视图中隐藏的问题的个人仍然可以访问它们。 问题面板中显示的组总计包括隐藏的问题。 如果在文件夹列表中找到要隐藏或直接指向另一个文件夹的问题，则可以使用过滤器向导创建一个新的过滤器。 过滤器向导将显示所有具有匹配条件的属性。 文件HP_Fortify_Audit_Workbench_User_Guide_4.30的P 29； 本文档与Fortify程序文件一起提供。 如果您希望其他人意识到这些问题，即使您忽略它，也可以采用这种替代方法。

删除的问题

这种选择与您的情况并不特别相关，但是为了完整起见，我将其介绍。 随着对项目的多次扫描随着时间的流逝，问题通常会得到解决或变得过时。 在合并扫描结果时，静态代码分析器会将以前扫描中未发现但在最新SCA分析结果中不再明显的问题标记为“已删除”。 已删除的问题不包括在“问题”面板中显示的组总计中。 由于您不打算“修复”此问题，因此它不会成为“已删除的问题”。 要显示或隐藏隐藏，隐藏和删除的问题，请使用“选项”菜单。 您可以设置可见性过滤器以显示或隐藏问题。

Answer 3

您不能说这是来自受信任的来源，但是您可以创建一个自定义规则集以在即将进行的扫描中删除所有这些问题。