规则包是如何命名的?例如,我在软件安全中心(“SSC”)的管理视图中看到了 5 个规则包。规则包在名称中以 .NET 或 Java 命名。
规则包名称是否与正在执行的分析具有 1 对 1 的关系?如果我希望仪表板显示对这些语言的分析,是否应该有 Abap、C++ 或 Python 规则包?
问问题
9848 次
4 回答
1
(1) HP 出厂规则包应安装到~FORTIFY_HOME/Core/config/rules 目录。您可以通过命令检查版本:
UNIX:grep -n -binary 版本= /local/ssap/fortify-sca-3.80/Core/config/rules/*.bin
窗口:findstr /C:"Version=" d:\fortify\Core\config\rules*.bin
(2) 您可以删除您的应用程序不使用的 .bin 文件(即 SAP abap、coldfusion、python...)。随意将您的 custom_rule.xml 添加到此文件夹中。
(3) 规则包应该安装到运行~/bin/sourceanalyzer 的服务器上。您在 SSC 管理仪表板中看到的规则文件仅供用户下载/更新规则包。如果您不在 SSC 服务器上扫描,而是通过电子邮件将 .zip 文件分发给用户,则无需在 SSC 服务器上导入规则包。
于 2015-01-28T05:41:28.487 回答
0
您在 SSC 中看到的五个无法删除的规则包是“运行时”规则。SCA 规则不同,并且不包含在基本 SSC 安装中。您必须单击规则包更新按钮才能从 Internet 获取它们。
于 2014-05-08T20:35:16.537 回答
0
某些语言既有核心版本也有扩展版本,但其他语言只是其中之一。具体来说,所有规则包是:
Core_abap Core_actionscript Core_android Core_annotations core_cfml core_cobol core_cpp extended_cpp core_dotnet extended_dotnet core_cobol core_java extended_java core_javascript core_objc core_php core_python core_sql extended_sql core_vb extended_config extended_content extended_jsp
某些语言可能出于不同的原因使用多个规则包,但如果您有 javascript,那么您需要 javascript 规则包。基本合同将为您提供所有这些,除了单独支付的高级语言的那些:
ColdFusion ABAP COBOL Python
于 2014-01-07T15:30:32.017 回答
0
根据您的 HP 合同,您有一个或多个针对一种语言的规则包。对于某些语言,您只有核心编码规则,而对于某些语言,您有额外的“扩展”编码规则。
于 2013-11-06T13:33:23.933 回答