Fortify を使用していくつかの税関規則を作成していますが、その規則をカスタマイズして言語固有にする方法はあるのでしょうか。
その理由は、インスタンスやカスタム参照などの SQL インジェクションについて Java と .NET でカスタムの説明を提供できるようにすることで、それらを言語固有にすることができるようにするためです。
Fortify はカスタム ルールをカテゴリ別にマップしているようですが、.NET 用と Java 用の 2 つのパッケージがあり、両方がクロスサイト スクリプティングと呼ばれるカテゴリを公開している場合に問題が発生します。
このルールを言語固有にする方法を知っていますか?
ありがとう。
次のようにルールの言語属性を使用します。
<StructuralRule formatVersion="3.8" language="dotnet">
<RuleID>1537A69A-F7EA-4D14-9F8F-0CC17806780A</RuleID>
<VulnKingdom>Input Validation and Representation</VulnKingdom>
<VulnCategory>SQL Injection</VulnCategory>
<DefaultSeverity>2.0</DefaultSeverity>
<Description></Description>
<Predicate><![CDATA[
FunctionCall fc: fc.function is [Function f: f.name == "set_CommandText" and
f.enclosingClass.supers contains [Class c: c.name == "System.Data.IDbCommand"]] and
not fc.enclosingFunction contains [FunctionCall call: call.function is
[Function f1: f1.name == "set_CommandType" and
f1.enclosingClass.supers contains [Class c1: c1.name == "System.Data.IDbCommand"]] and
call.arguments[0].constantValue == 4]
]]></Predicate>
</StructuralRule>