谁有fortify sca能扫描的安全漏洞种类明细

Posted 2023-04-21

参考技术A 系统漏洞会影响到的范围很大，包括系统本身及其支撑软件，网络客户和服务器软件，网络路由器和安全防火墙等。
腾讯电脑管家可以修复Windows操作系统漏洞，还可以智能筛选区分出高危漏洞补丁及功能性补丁，操作方法：腾讯电脑管家-工具箱-选择“修复漏洞” 参考技术B

Fortify 主要针对以下7大漏洞进行扫描：

input Validation and Representation: 输入验证和表示

API Abuse: API滥用

Security Features: 安全功能

Time and State: 时间和状态

Errors: 错误

Code Quality: 代码质量

Encapsulation: 封装


input Validation and Representation漏洞扫描项

Buffer Overflow            缓冲区溢出

Command Injection     命令注入

Cross-Site Scripting    跨站点脚本编制

Format String         格式字符串

HTTP Response Splitting    HTTP响应分裂

Illegal Pointer Value  非法指针值

Integer Overflow   整数溢出

Log Forging   日志锻造

Path Manipulation   路径操作

Process Control      过程控制

Resource Injection  资源注入

Setting Manipulation   设置操作

SQL Injection      SQL注入

String Termination Error      字符串终止错误

Struts: Duplicate Validation Forms       Struts:重复验证表单

Struts: Form Bean Does Not Extend Validation Class     Struts:表单Bean不扩展验证类

Struts: Form Field Without Validator      没有验证器的表单字段

Struts: Plug-in Framework Not In Use      Struts:未使用的插件框架

Struts: Unused Validation Form       Struts:未使用的验证表单

Struts: Unvalidated Action Form      Struts:未经验证的动作表单

Struts: Validator Turned Off            Struts:验证器关闭

Struts: Validator Without Form Field    Struts:没有表单字段的验证器

Unsafe JNI   不安全的JNI

Unsafe Reflection     不安全的反射

XML Validation    XML验证

API Abuse: API漏洞扫描项

Dangerous Function     危险的函数

Directory Restriction    目录的限制

Heap Inspection      堆检验

J2EE Bad Practices: getConnection()     J2EE不良实践:getConnection()

J2EE Bad Practices: Sockets      J2EE不好的实践:套接字

Often Misused: Authentication    经常滥用:身份验证

Often Misused: Exception Handling   经常误用:异常处理

Often Misused: File System      常被误用的:文件系统

Often Misused: Privilege Management     经常误用:特权管理

Often Misused: Strings     经常滥用:字符串

Unchecked Return Value    不返回值

Security Features漏洞扫描项

Insecure Randomness   不安全的随机性

Least Privilege Violation    最小特权违反

Missing Access Control    失踪的访问控制

Password Management     密码管理

Password Management: Empty Password in Config File      密码管理:配置文件中的密码为空

Password Management: Hard-Coded Password      密码管理:硬编码密码

Password Management: Password in Config File    密码管理:配置文件中的密码

Password Management: Weak Cryptography     密码管理:弱密码

Privacy Violation     隐私的侵犯

Time and State漏洞扫描项

Deadlock   死锁

Failure to Begin a New Session upon Authentication    身份验证后无法开始新会话

File Access Race Condition: TOCTOU    文件访问竞争条件:TOCTOU

Insecure Temporary File   不安全的临时文件

J2EE Bad Practices: System.exit()    J2EE不良实践:System.exit()

J2EE Bad Practices: Threads    J2EE不好的实践:线程

Signal Handling Race Conditions   信号处理竞态条件

Errors漏洞扫描项

Catch NullPointerException   捕捉空指针异常

Empty Catch Block    空的Catch块

Overly-Broad Catch Block   过于宽泛的Catch块

Overly-Broad Throws Declaration   过于宽泛的抛出宣言

Code Quality漏洞扫描项

Double Free   双自由

Inconsistent Implementations   不一致的实现

Memory Leak   内存泄漏

Null Dereference   零废弃

Obsolete    过时了

Undefined Behavior   未定义的行为

Uninitialized Variable   未初始化变量

Unreleased Resource   未释放的资源

Use After Free  使用后免费

Encapsulation漏洞扫描项：

Comparing Classes by Name    按名称比较类

Data Leaking Between Users   用户之间的数据泄漏

Leftover Debug Code   剩下的调试代码

Mobile Code: Object Hijack   移动代码:对象劫持

Mobile Code: Use of Inner Class   移动代码:使用内部类

Mobile Code: Non-Final Public Field   移动代码:非最终公共字段

Private Array-Typed Field Returned From a Public Method   从公共方法返回的私有数组类型字段

Public Data Assigned to Private Array-Typed Field     分配给私有数组类型字段的公共数据

System Information Leak   系统信息泄漏

Trust Boundary Violation    信任边界违反

   

文章引用：

<a link="https://blog.51cto.com/huaweicainiao/2328458"/>

如何区分 Fortify SCA 扫描

【中文标题】如何区分 Fortify SCA 扫描

【英文标题】：How to diff Fortify SCA scans

【发布时间】：2015-03-06 19:57:12

【问题描述】：

我们有 Fortify SCA，并且正在设置定期自动扫描我们的源代码。我们的目的是在出现安全问题时发出警报。有没有办法，也许使用 FPRUtility （或其他方法）来完成这个？最终，我更喜欢可以从命令行轻松运行的东西，但如果这也可以使用 GUI 完成，那么我也会很感激知道如何做到这一点。

【参考方案1】：

(1) 将 Fortify 报告生成为 XML FORMAT 的命令： FORTIFY_INSTALL_DIR\bin\ReportGenerator.bat -format xml -f target_file_name.xml -source your_fpr_file_name.fpr -templateDetailed-DefaultReportDefinition.xml

（2）您也可以使用AWB通过Report（顶部菜单栏）->保存报告->选择格式->保存来生成.pdf/.rtf/.xml报告

(3) 刚刚在此处添加了创建 excel 表的程序：Export HP Fortify SCA 4.10 results in EXCEL format

(4)如果有DB(oracle)访问权限，可以用脚本查询

【讨论】：

这是正确的，只是您忘记要求用户自定义用于隐藏除新问题之外的所有问题的报告模板。

在 db 脚本 "WHERE I2.SCANSTATUS='NEW' AND I2.ISSUESTATE='Open Issue' ....." 表示仅获取新发现的问题。如果您想查看所有活跃的问题，请将 ="NEW" 替换为 "REMOVED"（针对 ftech "NEW"、"UPDATED"、"REINTRODUCED" 问题）

【参考方案2】：

使用 Audit Workbench 运行报告。选择“开发人员工作簿”并禁用除一个部分之外的所有部分。 （你可以选择任何你想要的部分）。

在报告部分的附加属性中，将问题的过滤器设置为[issue age]:new。这意味着该报告将仅显示您的 FPR 中先前扫描中不存在且在最新扫描中引入的问题。保存模板。

在您的扫描配置中，确保每个项目每次都扫描到相同的 FPR，以便报告运行器可以计算“新”问题。

扫描完成后，使用@user1836982 的回答运行报告。选择 XML 模板并以编程方式对其进行处理。

【参考方案3】：

如果您使用 Fortify SCA，您还应该有权访问 Fortify 软件安全中心 (SSC)。 SSC 可用于跨项目构建跟踪趋势数据。 SSC 内置了根据 SSC 中用户定义的事件发送警报的功能；我从来没有和那些人一起工作过，所以除了文档所说的之外，我无法提供任何想法。

Fortify SCA 生成的报告（.fpr 文件）是存储所有相关数据的 zip 文件 XML 文档；我怀疑这些文件中的一些数据与 SCA 和 SSC 实例中都存在的 SCA 规则集有关。我怀疑如果没有规则集，您将能够确定已经引入了新问题，但没有任何关于它们是什么、优先级等的良好数据。

【讨论】：

很遗憾我们没有 SSC。我的解决方案可能是运行合并，然后编写一个程序来解析 XML。