我是一位開發中型c#應用程序的開發人員,並且正在使用Visual Studio 2010的Fortify Secure編碼插件定期進行靜態代碼分析。我們即將結束這個開發週期,並被要求向IA提供漏洞報告。強化愛生雅的SCA/SSC報告?
我之前沒有做過提交,IA似乎並不熟悉Fortify報告。我的計劃是生成2或3份報告並提交給IA,以便他們決定哪種最適合他們的使用。我不確定哪些報告(有哪些選項)適合提交給IA。我也有權從Audit Workbench和SSC生成報告。
所以問題是,您的組織提供給您的IA商店的Fortify報告(使用哪些配置)?或者更一般地說,您向IA提供什麼類型的靜態分析漏洞信息?
預先感謝您。
我的猜測是「IA」代表「信息保證」。當你處理infosec類型時,你需要在語言上做到精確,因爲他們需要。我正在從一名開發人員轉向一些信息安全事宜,所以對我來說這也是一個挑戰。
IA團隊已要求您提供漏洞報告,這將是滲透測試的輸出。滲透測試的結果將包括被證明可被利用的弱點,而來自靜態分析的靜態安全評估將包括代碼中不一定可被利用的弱點。靜態分析可以找到的問題類型也有限制,所以它絕不會替代動態評估或滲透測試。
許多公司都需要將多種分析結果作爲批准申請的一部分。手動滲透測試有時可以完成,但通常使用掃描儀(如WebInspect或AppScan)掃描應用程序以代替手動測試。將Web應用程序掃描程序的結果與靜態分析結果結合使用時,它將涵蓋代碼中的潛在弱點以及部署應用程序中的典型漏洞(在類似於生產環境的環境中運行時)。
您應該與您的IA團隊合作,確定審覈部署到生產的應用程序的過程,以及由誰負責過程中的哪些步驟。您可能需要安排他們在您的QA或功能測試環境中對您的應用程序進行筆測試。
至於報告,如果他們想要靜態分析的結果,我會考慮爲他們創建一個小於20頁的報告,包括Web應用程序中最流行的問題,假設您是編寫一個Web應用程序。我不贊成在SSC的CWE/SANS Top 25 2010報告中,沒有「詳細報告」選項。
我會使用SCA生成FPR文件,解壓縮FPR文件(解壓縮),打開audit.fvdl,解析漏洞XML標記以創建問題列表並將其上載到報告軟件。如果需要翻譯,可以在上傳過程中完成。你可以查看Sonar plugin如何做這樣的事情。
您可能需要定義IA對您的組織的含義 – explunit
好點。 IA是授權應用程序在我們的網絡上部署的組織。 –