Fortify：與訪問控制數據庫有關的問題

Question

我們一直在代碼中使用強化工具來檢查安全漏洞。 我們能夠解決大多數問題，但是發現有些問題很難解決，其中一個與訪問控制數據庫相關的問題有關，我們在代碼中使用休眠條件從DB中獲取記錄並foritfy抱怨從數據庫獲取並放入程序的數據來自不受信任的來源。下面是相同的代碼

Criteria criteria = hibernatessn.createCriteria("com.vish.Status")
critiera.list() ------>Here were get an error saying "data enters program from an untrusted source".

有沒有辦法表明數據確實來自可信來源？

謝謝

Answer 1

簡短答案-不。

答案略長-Fortify不知道您的數據源是否受信任。 您可能必須創建一個自定義過濾器以忽略該類別，或者必須創建一個自定義規則以僅忽略來自特定數據源的數據。

從歷史上講，如果您要一遍又一遍地掃描同一個應用程序，我只記得當您看到這些發現時，這些發現是“不是問題”。

Answer 2

您可以控制問題面板是否列出以下類型的問題：

受抑制的問題

如果您確定特定漏洞不是（也永遠不會）成為關注點，則可以將問題標記為“已抑制”。 您可能還希望取消針對可能不是高優先級或緊迫關注的特定類型問題的警告。 例如，您可以消除已解決的問題，或者不打算解決的問題（對於您而言）。 被抑制的問題不包括在“問題”面板中顯示的組總計中。 當您想完全消除對該問題的意識時，這種方法可能是最好的。

隱藏的問題

您可以暫時隱藏一組問題，以避免在其他地方集中精力。 例如，您可以隱藏分配給您的所有問題。 被分配來解決您在視圖中隱藏的問題的個人仍然可以訪問它們。 問題面板中顯示的組總計包括隱藏的問題。 如果在文件夾列表中找到要隱藏或直接指向另一個文件夾的問題，則可以使用過濾器向導創建一個新的過濾器。 過濾器向導將顯示所有具有匹配條件的屬性。 文件HP_Fortify_Audit_Workbench_User_Guide_4.30的P 29； 本文檔與Fortify程序文件一起提供。 如果您希望其他人意識到這些問題，即使您忽略它，也可以采用這種替代方法。

刪除的問題

這種選擇與您的情況並不特別相關，但是為了完整起見，我將其介紹。 隨着對項目的多次掃描隨着時間的流逝，問題通常會得到解決或變得過時。 在合並掃描結果時，靜態代碼分析器會將以前掃描中未發現但在最新SCA分析結果中不再明顯的問題標記為“已刪除”。 已刪除的問題不包括在“問題”面板中顯示的組總計中。 由於您不打算“修復”此問題，因此它不會成為“已刪除的問題”。 要顯示或隱藏隱藏，隱藏和刪除的問題，請使用“選項”菜單。 您可以設置可見性過濾器以顯示或隱藏問題。

Answer 3

您不能說這是來自受信任的來源，但是您可以創建一個自定義規則集以在即將進行的掃描中刪除所有這些問題。