我是一名开发中型 c# 应用程序的开发人员,我正在使用 Visual Studio 2010 的 Fortify Secure 编码插件定期进行静态代码分析。我们即将结束这个开发周期,我被要求向 IA 提供漏洞报告。
我以前不必提交,而且 IA 似乎不熟悉 Fortify 报告。我的计划是生成 2 或 3 份报告并提交给 IA,以便他们决定哪个最适合他们使用。我不太确定哪些报告(有哪些选项)适合提交给 IA。我还可以从 Audit Workbench 和 SSC 生成报告。
所以问题是,您的组织向您的 IA 商店提供了哪个 Fortify 报告(带有哪些配置)?或者更笼统地说,您向 IA 提供什么类型的静态分析漏洞信息?
先感谢您。
我将使用 SCA 生成 FPR,提取 FPR 文件(解压缩),打开 audit.fvdl,解析 Vulnerabilities XML 标签以创建问题列表并将它们上传到报告软件。如果需要一些翻译,可以在上传过程中完成。你可以检查声纳插件是如何做这样的事情的。
我的猜测是“IA”代表“信息保证”。当您处理信息安全类型时,您需要精确的语言,因为它们需要如此。我正在从一名开发人员转变为有点信息安全,所以这对我来说也是一个挑战。
IA 团队要求您提供漏洞报告,这将是渗透测试的输出。渗透测试的输出将包括被证明可利用的弱点,而静态分析的静态安全评估将包括代码中不一定可利用的弱点。静态分析可以发现的问题类型也有限制,因此它绝不会替代动态评估或渗透测试。
许多公司需要多种类型的分析结果作为批准申请的要求的一部分。有时会进行手动渗透测试,但通常使用 WebInspect 或 AppScan 等扫描仪来扫描应用程序以代替手动渗透测试。当来自 Web 应用程序扫描器的结果与静态分析结果相结合时,它既涵盖了代码中的潜在弱点,也涵盖了已部署应用程序中的典型漏洞(在生产环境等环境中运行时)。
您应该与您的 IA 团队一起确定审查应用程序以部署到生产的过程,以及谁负责该过程中的哪些步骤。您可能需要安排他们在您的 QA 或功能测试环境中对您的应用程序进行渗透测试。
至于报告,如果他们想要您的静态分析结果,我会考虑生成一份少于 20 页的报告供他们开始,其中包括 Web 应用程序中最普遍的问题,假设您正在编写一个 Web 应用程序. 我偏爱 SSC 中的 CWE/SANS Top 25 2010 报告,没有“详细报告”选项。