問題タブ [fortify]

Androidコードベースで「addJavascriptInterface」のインスタンスを検索する強化ルールを作成したいと思います。

コードベースに対してfortifyを実行しようとすると、次のようになりました：-

だから私は次のようにfortifyを実行してみました：-

警告は消えますが、ルールはまだ実行されていないようです-何が間違っている可能性がありますか？

編集わかりやすくするために、WebViewTestはaddJavascriptInterfaceを使用するサンプルプロジェクトです。

EDIT2明確にするためにいくつかのコードを追加しました

EDIT3私はこれを少し試してみましたが、最終的に、同じファイルのクラスで定義された関数が見つかるまで、私の特定のケースではセマンティックルールは実行されないという結論に達しました。androidソースを取得し、WebView.javaのソースをコピーすると、ルールが実行されます（恐ろしいことですが、遊んでいるだけです）。

Fortifyは、ソフトウェアコードのセキュリティの脆弱性を見つけるために使用されるSCAです。このソフトウェアが内部でどのように機能するのか興味がありました。コードを実行するための一連のルールを構成する必要があることを私は知っています。しかし、コードの脆弱性をどれだけ正確に見つけることができるか。

誰かがこれについて何か考えを持っていますか？

前もって感謝します。

fortify ソフトウェア v3.20 を使用していますが、VS 2012 と互換性がないようです。

最新バージョンは VS 2012 で動作しますか?

ありがとう。

Fortify でプロジェクトをスキャンすると、一連のエラーが発生します。

[警告]: PHP フロントエンドは、次のインクルードを解決できませんでした: main.php:174 の Mail.php。[警告]: include_path ディレクティブを調べることができるように、php.ini ファイルを SCA に渡すと役立つ場合があります。[警告]: ファイルの解析中に予期しない例外が発生しました (javascript) index.php: 行 2、列 17 で解析エラーが発生しました。遭遇しました: _ffy_tag

Windowsの「環境変数」のPEARディレクトリにPATHを追加してみました。しかし、それでもエラーになります。

これを行う方法がわからない「php.iniファイルをSCAに渡すと役立つ場合があるため、include_pathディレクティブを調べることができます。」. スキャン ウィザードを開始し、スキャンに php.ini ファイルを含めようとしましたが、それでもエラーが発生します。

コード内にフル パスを含めると、エラーが「[警告]: PHP フロントエンドは次のインクルードを解決できませんでした: PEAR.php at RFC822.php:198.」に切り替わりました。

本当に私の質問は、「php.ini ファイルを SCA に渡す」方法です。どんな提案も非常に役に立ちます。

ありがとう、

トム

私の php.ini include_path には my ディレクトリが含まれています。

シングルトン クラスのメソッドが呼び出されているかどうかを確認するカスタム ルールを強化します。たとえば、次の呼び出しがある場合、このルールによって警告の問題が発生します。

少しでも私を助けていただければ、本当にありがたいです！

removed現在削除されているファイルから問題を(マークする代わりに) 削除することはできますか?

スキャン時にプロジェクト翻訳からファイルを除外しようとしましたが、役に立ちませんでした。これらのファイルが削除されたときに、Fortify プロジェクトでそれらの問題を確認したくありません。

ところで、HP Fortify 3.70 を使用しています。

Fortify が使用するすべてのルールに関するレポートを書きたいので、Fortify Secure Coding Rules (Fortify がデフォルトで使用するルール) の特定のルールを確認したいと思います。

• それらを見ようとしましたが、ファイルC:\Program Files\Fortify Software\HP Fortify v3.60\Core\config\rulesが見つかりましたが、それらを見ることができません。.bin
• 私も開いていますがAuditWorkbench、セキュリティ コンテンツ管理でもそれらを見ることができません。

それらを見る方法はありますか?? ご協力いただきありがとうございます。

インターフェイスを実装するクラスISerializerのFortify SourceAnalyzer から、以下の警告が表示されます。IDeSerializer

「SecurityManager チェックの欠落: シリアライズ可能」。

これはセキュリティ上の脆弱性です。これは、機密データをシリアル化し、クラスのコンストラクターにセキュリティ マネージャー チェックを入れて、新しいオブジェクト インスタンスの未チェックの作成を回避するためです。書き込みメソッドをオーバーライドし、書き込みメソッドにも同じセキュリティ マネージャー チェックを入れる必要があります。(シリアライズされたバイトから作成されたオブジェクトに対する Java コントロールがないため、シリアライズされたバイトから新しいインスタンスを作成することができ、それらのバイトを単純にデシリアライズするため、回避する唯一の方法は、書き込みに同じセキュリティ マネージャー チェックを入れることです。方法）。

上記の説明は、機密データをシリアル化し、コンストラクター内にセキュリティマンガーチェックを入れている場合はまったく問題ありません。しかし、機密ではないデータがあり、コンストラクターでセキュリティマネージャーのチェックを行わずにそれをシリアル化したい場合。それでも、Fortify レポートから上記の警告を受けました。この警告を取り除く方法がわかりません。これは Fortify ツールのバグですか、それとも何か不足していますか?

注:- コンストラクターでセキュリティ マネージャーをチェックしたくありません。

この問題が発生しています... xcodebuild を使用して iOS 6.0 (Xcode 4.5) プロジェクトを個別にビルドした後、sourceanalyzer は最初に、stdarg.h などを含むいくつかのクラスの .nst ファイルが欠落していると報告します。sourceanalyzer が iPhone SDK のヘッダー検索パスを認識できないようです。ただし、Fortify は非常にまれであるように思われるため、特にさまざまな Xcode バージョンとの互換性などに関して、まだ答えを見つけていません。

出力：

チームで作業し、ローカルのマシンで Fortify ソフトウェアを実行しています。私たちは皆、異なるルート ディレクトリにプロジェクト コードのセットアップを持っています。たとえば、私は C:\work\development\ にプロジェクト コードを持っていますが、C:\Development\mainCodeLine\ などのようなものを持っている同僚はほとんどいません。 - コードの常駐が異なります。最初は私だけが Fortify に取り組んでいましたが、今では多くのメンバーが Fortify を実行しています。現在、リポジトリに保存されている FPR ファイルを共有しています。リポジトリからダウンロードし、同じファイルに対して SCA コマンドを実行して、非表示/抑制された問題などの詳細を保持します。期間中、次のことが観察されました。

1. 生成される一意のインスタンス ID は、単一のマシンでのみ一意です。つまり、一意のインスタンス ID は自分のマシンのスキャンでのみ同じままで、チームメイトのマシンでスキャンが実行されると変更されます。複数のマシンでの複数のスキャンで同じ状態を維持するように Fortify を構成する方法はありますか? このため、フィルター ファイルで一意のインスタンス ID を使用することはできません。

2. 私とチームメイトが同じコードで 2 つの別々のマシンで並行してスキャンを実行する場合 (前述のように、プロジェクトのルート ディレクトリのみが異なります)、これら 2 つのレポートを統合する方法はありますか?