个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我们一直在我们的代码中使用强化工具来检查安全漏洞。我们能够解决大部分问题,但有一些问题我们发现很难解决。其中一个与访问控制数据库相关问题有关。我们在代码中使用休眠条件从数据库中获取记录并进行强化提示从数据库获取并放入程序的数据来自不受信任的来源。下面是相同的代码
Criteria criteria = hibernatessn.createCriteria("com.vish.Status")
critiera.list() ------>Here were get an error saying "data enters program from an untrusted source".
最佳答案
简短的回答 - 不。
稍微长一点的答案 - Fortify 不知道您的数据源是否可信。您要么必须创建一个自定义过滤器来忽略该类别,要么创建自定义规则来仅忽略来自特定数据源的数据。
从历史上看,如果您一遍又一遍地扫描同一个应用程序,我只记得当您看到这些发现时,这些发现“不是问题”。
关于Fortify:访问控制数据库相关问题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35042016/
25
4
0
Fortify SCA 和 Fortify SSC 有什么区别。这些软件生成的报告有什么区别吗? 我知道 Fortify SSC 是一个基于 Web 的应用程序。我也可以将 Fortify SCA 用
关闭。这个问题需要多问focused 。目前不接受答案。 想要改进此问题吗?更新问题,使其仅关注一个问题 editing this post . 已关闭 5 年前。 Improve this ques
使用sourceanalyzer,如何在翻译过程中提供多个文件/路径排除项? 下面的示例来自:Fortify SCA exclude test folder\files /src/main/xyz/p
我们运行了 Fortify 扫描并遇到了一些访问控制:数据库问题。该代码正在获取文本框值并将其设置为字符串变量。在这种情况下,它将值从 TextBox 传递到数据库中的存储过程。关于如何解决此访问控制
对于我的 Controller 中的大多数操作方法,HP fortify scan 给我一条消息作为Mass Assignment: Insecure Binder Configuration (AP
我正在尝试获取一份报告,其中仅包含自上次扫描以来的最新问题,并且是在命令行中。例如: 扫描 1:5 个问题 扫描 2:8 个问题 我想要的:一份只显示最新 3 期的报告 到目前为止,这是我的命令: .
作为自动化运行安全代码分析过程的一部分,我有一个 Jenkins 作业,它使用 sourceanalyzer 命令行工具生成一个 .fpr 结果文件。目前,我正在 Audit Workbench 应用
Fortify Audit Workbench 是否有任何命令行选项可以让我将其放入 cron 作业并每天运行它? 扫描需要两个多小时,我希望它能连夜运行并在早上看到结果。 杰森 最佳答案 Audit
我有多个项目由一个父 pom 绑定(bind)。 如果我使用 Maven 强化插件在父 pom 上运行强化扫描,则会生成每个项目的 fpr 文件。我想为所有项目生成一个 fpr 文件。是否可以 ? 谢
全部,我正在尝试对代码存储库进行静态扫描,但 HP Fortify SCA 和应用程序 4.42 中的扫描向导不会为扫描创建批处理文件。 我可以添加项目根目录,然后系统会找到所有文件,大约 18,00
我们正在运行强化以检查安全漏洞和声纳以进行代码清理。 我想知道我们是否可以在 fortify 中启用静态代码分析并摆脱 sonar/pmd/findbugs 等。 我有一个 java 项目,将使用 f
翻译和扫描目标适用于我们正在扫描的项目。 但我们仍在手动进行合并;即我们搁置最后一次扫描的 .fpr 文件并通过 Maven 再次运行扫描,然后使用 Fortify Workbench 合并两个 .f
我想知道用于获取强化网站中所有漏洞的 REST API。 就像我可以通过点击' https://fortifyssc.xxx.com//api/v1/projects?q=id 来获取应用程序的详细信
我需要使用 Fortify 检查在我的项目中使用的第三方库中的漏洞(如果有)。 对于一些第三方库,我无法访问他们的源文件。我只有随附的 .jar 文件。 是否可以在 .jar 文件上运行 Fortif
我一直在尝试研究这个问题,而我有限的编译经验阻碍了我解决这个问题的能力。 基本上,我有一些代码是用 Qt Creator 编写的,然后用这些构建步骤构建: qmake.exe [project nam
我使用 HP Fortify SCA 4.10 进行扫描。现在我想将原始结果导出为 Excel 格式以进行数据按摩以生成数据透视表。任何人都可以建议一种简单或困难的方法来做到这一点。 最佳答案 引用此
使用 Fortify Audit Workbench 应用程序出现以下错误: [错误]:解析 *.js 时出现意外异常com.fortify.sca.analyzer.a:没有足够的内存来完成分析。有
我创建了一个默认的 .Net Core 1.0.1 类库并更改了 project.json 中的 buildOptions 以包含 debugType:“Full”。我使用 16.11 使用了集成的
我有一个在 AWB 中打开的 Fortify FPR 扫描文件。我想生成一份报告,其中包含发现问题的所有实例。当我生成报告时,它会按类型及其计数生成问题报告,在类型下方,我还会获取发现问题的某些文件的
我们如何使用命令生成 FortiFy 报告???在 Linux 上。 在命令中,我们如何仅包含一些文件夹或文件进行分析,以及如何提供存储报告的位置。等等。 请帮忙.... 谢谢, 卡尔蒂克 最佳答案
我是一名优秀的程序员,十分优秀!