更改 HP Fortify C 规则优先级

Posted 2023-04-18

【中文标题】更改 HP Fortify C 规则优先级

【英文标题】：Change HP Fortify C rule priority

【发布时间】：2018-10-05 18:43:23

【问题描述】：

我想知道是否有人知道如何更改 HP Fortify 中规则的优先级？

例如在 C 中，“未初始化变量”类别的强化优先级顺序为 LOW。出于审计目的，我需要更改为 HIGH。有什么方法可以更改规则还是我需要创建新规则？

如果我需要创建一个新规则，我将如何创建一个匹配“未初始化变量”的规则并使其全局供其他用户使用？

【参考方案1】：

您实际上无法修改现有规则包。但没关系。我可以建议一些更简单的方法，它不涉及尝试创建或修改自定义规则（如果你不小心，这会变得非常混乱）。

您可以做的最简单的事情是创建一个自定义文件夹过滤器。

在 Audit Workbench 中打开您的 FPR。选择您通常使用的正确过滤器集。 您选择的过滤器集将成为 我们新的可见性过滤器。例如，我将使用 Security Auditor View。然后选择过滤器选项卡并单击创建新过滤器。 使用下面显示的值，但如果需要可以随意调整，然后单击保存： 此时，您应该能够在 High 选项卡中看到 Uninitialized Variable 结果。

特别注意事项：

目前对 Fortify Findings 组织的这一更改仅对这一 FPR 有效。如果您希望在扫描其他项目时存在此过滤器规则，则需要修改默认的强化过滤器，以创建称为自定义强化问题模板的东西。查看您的 fortify 文档以获取更多信息。

如果您尝试将其上传到 SSC（软件安全中心），您可能希望在其中执行一些报告，则在生成时，SSC 上的默认问题模板将用于对扫描的问题进行排序和组织报告。如果您希望将新的自定义 Fortify 问题模板用于使用 Web UI 进行报告和组织，则需要使用新的自定义问题模板覆盖 SSC 服务器上的默认问题模板。同样，请参阅您的文档以获取更多信息。

最后，有一种方法可以潜在地创建自定义 Fortify 控制流规则（需要与抑制规则结合使用），这可以从本质上重新分配优先级元数据您的特定问题，但这非常困难。

【讨论】：

这是一个很好的选择！谢谢