HP Fortify SCC - Rulepacks

Question

规则包是如何命名的？例如，我在软件安全中心("SSC")的管理视图中看到了5个规则包。规则包在名称中以.NET或Java命名。

规则包名称与正在进行的分析是否存在一对一的关系？如果我想让仪表板显示这些语言的分析，应该有一个Abap、C++或Python rulepack吗？

Answer 1

(1) HP factory rulepack应安装到~FORTIFY_HOME/Core/config/rules目录。您可以通过以下命令查看版本：

/local/ssap/fortify-sca-3.80/Core/config/rules/*.bin : grep -n -binary Version= UNIX

窗口: findstr /C:"Version=“d:\fortify\Core\config\rules*.bin

(2)您可以删除您的应用程序不使用的.bin文件(例如SAP abap、coldfusion、python...)。请随时将您的custom_rule.xml添加到此文件夹中。

(3)在运行~/bin/ should分析器的服务器上安装rulepack。您在SSC管理仪表板中看到的规则文件仅供用户下载/更新规则包。如果不在SSC服务器上进行扫描，并且通过电子邮件将.zip文件分发给用户，则不需要在SSC服务器上导入规则包。

Answer 2

根据您的HP合同，您可以为一种语言提供一个或多个规则包。对于某些语言，您只有核心编码规则，而对于某些语言，您有额外的“扩展”编码规则。

Answer 3

某些语言有两个核心和扩展版本，但其他语言只有其中之一。具体地说，所有的规则包是：

Core_abap Core_actionscript Core_android Core_annotations core_cfml core_cobol core_cpp extended_cpp core_dotnet extended_dotnet core_cobol core_java extended_java core_javascript core_objc core_php core_python core_sql extended_sql

一些语言可能会出于不同的原因使用多个rulepack，但是如果您使用javascript，那么您就需要javascript rulepack。基本合同将为您提供除单独付费的高级语言之外的所有语言：

ColdFusion ABAP COBOL Python