訪問控制：數據庫（強化）

Question

我們一直在使用Fortify工具來檢查安全漏洞。 訪問控制數據庫問題，導致難以修復。

`public BigDecimal getLctnId（String roId）{查詢queryCaseId = em.createNamedQuery（“ RegionalOffice.getLctnId”）; queryCaseId.setParameter（“ roId”，roId）;

BigDecimal lctnId = null;
try {
    lctnId = (BigDecimal) queryCaseId.getSingleResult();
    } catch (Exception e) {
        }
return lctnId;
}

`有沒有辦法表明數據確實來自受信任的來源？

謝謝。

Answer 1

我在客戶端遇到了很多問題，Fortify在其中標記了受信任的數據源。

首先，確保數據源實際上是可信的。 通常，這意味着它受到嚴格的訪問控制（僅sysadmin，沒有其他雇員，並且沒有用戶數據），加密和更改記錄（以防sysadmin惡意）。 記錄它的可信度，以及有什么可能改變它。

要告知Fortify它是可信任的，有兩種選擇：

1. 當某個類型的所有輸入均受信任時，請執行此操作。 （因此，所有文件系統輸入或所有數據庫輸入等。）在Audit Workbench中，從頂部的橫幅中打開“審計指南”，選擇“高級模式”，然后選中框以指示Fortify信任這些輸入。 不幸的是，如果使用2個數據庫，一個受信任數據庫和一個不受信任數據庫，則無法告訴Fortify僅信任這些數據庫之一。

2. 在該問題的“問題摘要”（底部中央面板）中，寫一條注釋，“受信任的數據源，請參閱[文檔]。” 將分析標記為“不是問題”，並選擇使用紅色的X按鈕取消分析。 （許多公司希望開發人員不要抑制問題，請與擁有Fortify的公司聯系。）這是一個手動過程，但是您可以選擇多個問題，然后一次將審核應用於所有這些問題。