加强IA的SCA/SSC报告？

Question

我是一名开发中型c#应用程序的开发人员，正在使用Visual Studio2010的强化安全编码插件定期进行静态代码分析。我们的开发周期已经接近尾声，我被要求向IA提供一份漏洞报告。

我以前没有做过提交，而且IA似乎不熟悉Fortify报告。我的计划是生成2到3份报告并提交给IA，这样他们就可以决定哪一份最适合他们的使用。我不太确定哪个(哪些)报告(带有哪些选项)适合提交给IA。我还可以从Audit Workbench和SSC生成报告。

所以问题是，您的组织向您的IA商店提供了哪个Fortify报告(使用哪些配置)？或者更一般地说，您会向IA提供哪种类型的静态分析漏洞信息？

提前谢谢你。

Answer 1

我猜"IA“代表”信息保障“。当您处理infosec类型时，需要在语言上精确，因为它们需要精确。我正在从一名开发人员过渡到某种程度上的信息安全，所以这对我来说也是一个挑战。

IA团队要求您提供漏洞报告，这将是渗透测试的输出。渗透测试的输出将包括被证明可利用的弱点，而来自静态分析的静态安全评估将包括代码中不一定可利用的弱点。静态分析可以发现的问题类型也有限制，因此它绝不是动态评估或渗透测试的替代品。

许多公司要求多种类型的分析结果作为批准申请的要求的一部分。有时会进行手动渗透测试，但通常使用诸如WebInspect或AppScan之类的扫描仪来扫描应用程序，而不是手动笔测试。当web应用程序扫描程序的结果与静态分析结果相结合时，它既涵盖了代码中的潜在弱点，也涵盖了已部署应用程序中的典型漏洞(当在生产环境中运行时)。

您应该与您的IA团队一起确定审核应用程序以部署到生产环境的流程，以及谁负责该流程中的哪些步骤。您可能需要安排他们在您的QA或功能测试环境中对您的应用程序进行笔测试。

至于报告，如果他们想要你的静态分析结果，我会考虑生成一份少于20页的报告，其中包括web应用程序中最普遍的问题，假设你正在编写一个web应用程序。我倾向于在SSC中使用CWE/SANS Top25 2010报告，没有“详细报告”选项。

Answer 2

我将使用SCA生成FPR，解压FPR文件(解压缩)，打开audit.fvdl，解析漏洞XML标记以创建问题列表，并将它们上载到报告软件。如果需要一些翻译，可以在上传过程中完成。您可以查看Sonar plugin是如何做这样的事情的。