在项目生命周期中使用Fortify工具

Question

我在我已经开发的源代码上运行了fortify SCA，找到了几个issues..How，我应该着手修复这些问题吗？我应该采取什么方法？因为当我开始修复现有的漏洞时，可能会出现新的漏洞。如果我没有一个正确的方法，我可能会花很多时间绕圈子。请建议我应该采取的可行方法。

Answer 1

TLDR:从最可怕的漏洞开始，从最恐怖的列表开始。

Fortify提供了一个称为"Fortify Priority Order“的问题的通用排名，Fortify会根据您在项目描述中的条目进行调整。如果这是一个web应用程序，您可能更喜欢使用几个OWASP Top 10属性中的一个。如果这是美国联邦政府应用程序，您可以选择FISMA属性。就我个人而言，我更喜欢Fortify优先级，因为它是多姿多彩的:减少关键问题的红色列是令人满意的。请放心，管理层将专注于这些引人注目的关键问题。一旦这些坏人消失了，那么明亮的橙色快感就会吸引他们的注意力。

Fortify还为您提供了一个过滤器集，以帮助您集中精力。这些范围从“开发人员视图”中的基本要素到“严重暴露视图”中的增加数字，再到“安全审核员视图”中的所有血淋淋的细节。尽管“开发人员视图”可能很简洁，但如果QA或审计人员查看您的扫描，猜猜他们会打开哪一个。:-)

这些属性中的每一个都可以按优先级顺序(严重、高、中和低)和/或按弱点类别进一步过滤。如果时间很短(不是总是这样！)，您可以考虑修复明显可利用且易于修复的“低挂果”，而不是陷入复杂的重构工作。最后，您的安全运营中心可能会建议您关注特定的弱点，因为这些弱点是他们在您的网络或主机上看到的攻击载体。

重新扫描代码的时间取决于。如果应用程序很小，并且扫描可以快速完成，那么立即重新扫描将最大限度地减少处理您在代码修复期间“注入”的错误的难度。频繁的重新扫描减少了多个注入错误相互作用或相互混淆的机会。频繁的扫描使您更容易关注您的修复对手头问题的影响。然而，随着扫描时间的增加，获取扫描结果的延迟从恼人到不切实际。作为大型和复杂应用程序的扫描开销的结果，大多数团队每次构建都会扫描一次；因此，频率取决于他们的构建周期。管理通过频繁扫描生成的FPR文件的数量可能是一件微不足道的麻烦事；您可能不想让成千上万个差异很小、历史价值很小的FPR文件弄乱您的软件安全中心。

幸运的是，Fortify允许您隐藏或隐藏您认为无关紧要的问题。(See my answer to HP Fortify — annotating method parameters.)尽管如此，您仍然会看到所有未处理的问题。