Я хочу написать и эквивалент правила HP Fortify в FXCop, для этого сначала я хочу видеть и понимать существующие правила в Fortify, как это сделать?Как узнать логику правил HP Fortify для .Net?
ответ
(1) Fortify rulepack находится в каталоге ~ FORTIFY_INSTALL_DIR \ Core \ config \ rules с расширением .bin. Это коммерческие секреты, поэтому вы не можете глубоко погрузиться в них. Для 2015Q4 rulepack существует 835 000+ интерфейсов проверки в 691 категории вопросов по 22 языкам программирования, каждый API представлен RULEGUILD, который вы можете увидеть в нижней левой части отчета FPR.
(2) Вы можете написать пользовательские правила, используя ~ FORTIFY_INSTALL_DIR \ Bin \ CustomRulesEditor.cmd, выберите язык .NET
Затем выберите шаблон правил, который соответствует вашим потребностям, подправить детали для создания правила custome. Правило не может быть найдено: here
(3) Чтобы проверить правильность применения правил, откройте FPR в AWB, щелкните центральную панель щелчка -> Резюме проекта -> вкладка «Информация об анализе» -> «Содержимое безопасности», чтобы просмотреть правило версии
- 1. HP Fortify Audit Workbench
- 2. Настройка HP Fortify UI
- 3. HP FORTIFY 360 в
- 4. HP Fortify - массовое назначение
- 5. Hp Fortify Apache Camel
- 6. HP Fortify: exitcode -12000
- 7. HP Fortify Build Monitor
- 8. Параметры HP Fortify - annotating method
- 9. Отчеты в HP Fortify Workbench
- 10. HP Fortify ASP.Net Web Forms
- 11. Hp Fortify: Путь Манипуляция erroe
- 12. HP Fortify сканирует ошибку ASP Pre-Compilation
- 13. Возможно ли знать правила правил ключевых правил Fortify?
- 14. Экспорт пользовательских тегов из HP Fortify SSC
- 15. HP Fortify не создает файл «batch»
- 16. HP Fortify сканирования с помощью Gradle
- 17. Проблема HP Fortify, возможная неустойчивость XSS?
- 18. Процесс архивирования История сканирования HP Fortify
- 19. HP Fortify File.Create повышает уязвимость манипулирования файлами
- 20. Большинство правил правил гибкости для .NET.
- 21. Команда Fortify .NET Translate
- 22. Настройка виртуальных хостов в Tomcat 7 для HP Fortify
- 23. Dot net fortify Сканирование
- 24. Использование HP Fortify для .cs-файлов в статическом анализе кода
- 25. Где я могу найти файл SCR для HP Fortify?
- 26. Как обновить «Правила обработки» HP FORTIFY через REST
- 27. Fortify Ошибка: «Нет правил файл найден»
- 28. HP Fortify: как определить новое предупреждение о проблеме
- 29. Fortify не находя сборки .NET
- 30. HP Fortify. Проблемы при обработке очень больших отчетов fpr на сервере fortify
Правила не доступны для просмотра, но некоторые из них довольно легко понять. FXCop не так эффективен, как Fortify, поэтому вы не можете действительно воссоздавать проблемы с потоками данных, такие как SQL Injection или XSS. Тем не менее, вы можете искать семантические и контрольные потоки. – Eric