Я запускаю Fortify (2.6.5) на нескольких очень больших проектах, но он не может отметить несколько ключевых вопросов, которые это действительно необходимо. Кажется, что Fortify выполняет сопоставление шаблонов для переменных с именем «password», а затем выполняет анализ потока данных. Это замечательно и помогает гарантировать, что нарушения конфиденциальности не происходят с такими конфиденциальными данными, как, например, их запись в журнал (отладка).Fortify 360 - Добавление псевдонимов 'password'?
Все это хорошо, но у нас есть случаи, когда пароли передаются в систему через другие имена переменных, такие как «учетные данные», а также другую конфиденциальную информацию, которая должна рассматриваться с одинаковым уровнем строгости в как Fortify делает с переменными, содержащими строку «пароль»!
Есть ли простой способ добавить или настроить такой список ключевых слов, чтобы Fortify действовал на них, как на «password»?
Спасибо! Не совсем простое решение, которое можно было бы надеяться, учитывая, насколько просто сопоставление, по-видимому, связано с тем, как Fortify определяет, что такое пароль, а что нет (без необходимости использовать ВСЕ код и добавлять аннотации Fortify везде), но это будет делать. Я дам ему выстрел ... –