У меня нет видимости для внутренних органов, но кажется, что как часть «Структурного анализатора» инструмент Fortify ищет текст, который может указывать на то, что хранится пароль. Он не может определить, был ли пароль жестко закодирован, но, основываясь на разговоре с консультантом HP Fortify, Fortify склоняется к тому, чтобы помечать проблему, если вообще сомневается, позволяя лицу (лицам) исправлять информацию аудита, чтобы определить, уязвимость или нет.
В следующем текстовом примере запускается строка кода для маркировки моей базы кода.
- Пароль
- пароль
- Passwd
- PASSWD
Там есть несколько способов по преодолению проблемы и правильный для вашей организации может зависеть от усилий работы:
- Отметьте помеченный как «Не проблема», знак что это имя переменной/управления и что пароль не жестко закодирован в коде.
- Переименуйте имя переменной/управления в значение, которое не будет помечено - txtPwd может быть вариантом в этом случае.
Не могли бы вы показать нам свои усилия? – manetsus
Я думал, что Fortify показывает это место только потому, что имя переменной содержит слово «Пароль». Я попытался переименовать 'txtPassword' в 'txtPwd' в html-файле и, похоже, работает. Fortify не обнаруживает ошибку в этом месте. Но, я ищу лучшее разрешение здесь, если они есть. Как бы то ни было, просто переименование имени переменной не убеждает меня достаточно, чтобы пойти с ним. –