Улучшить отчет SCA/SSC для IA?

Я разработчик, работающий над приложением C# среднего размера, и я использую подключаемый модуль Fortify Secure coding для Visual Studio 2010, чтобы регулярно выполнять статический анализ кода. Мы приближаемся к концу этого цикла разработки, и меня попросили предоставить отчет об уязвимости в IA.

Раньше мне не приходилось отправлять сообщения, а IA, похоже, не знаком с отчетами Fortify. Мой план состоит в том, чтобы создать 2 или 3 отчета и отправить их в IA, чтобы они могли решить, какой из них наиболее подходит для их использования. Я не совсем уверен, какой(ие) отчет(ы) (с какими вариантами) будет уместным для подачи в IA. У меня также есть доступ для создания отчетов из Audit Workbench и SSC.

Итак, вопрос в том, какой отчет Fortify (с какими конфигурациями) ваша организация предоставляет вашему магазину IA? Или, в более общем плане, какой тип информации об уязвимостях статического анализа вы предоставляете IA?

Заранее спасибо.


static-analysis fortify
person J.T.S.    schedule 19.05.2013    source источник
comment
Возможно, вам потребуется определить, что означает IA для вашей организации.   -  person explunit    schedule 20.05.2013
comment
Хорошая точка зрения. IA — это группа, которая авторизует приложения для развертывания в нашей сети.   -  person J.T.S.    schedule 22.05.2013

Ответы (2)


arrow_upward
0
arrow_downward

Я предполагаю, что «IA» означает «Информационная гарантия». Когда вы имеете дело с типами информационной безопасности, вам нужно быть точным в формулировках, поскольку они должны быть точными. Я перехожу от разработчика к информационной безопасности, поэтому для меня это тоже было проблемой.

Команда IA запросила у вас отчет об уязвимости, который будет результатом тестирования на проникновение. Результат теста на проникновение будет включать слабые места, которые, как доказано, могут быть использованы, тогда как статическая оценка безопасности из статического анализа будет включать слабые места в коде, которые не обязательно могут быть использованы. Существуют также ограничения на типы проблем, которые может обнаружить статический анализ, поэтому он никоим образом не заменяет динамическую оценку или тестирование на проникновение.

Многим компаниям требуются результаты нескольких типов анализа как часть их требований для утверждения заявки. Иногда проводится ручное тестирование на проникновение, но часто для сканирования приложения вместо ручного тестирования с помощью пера используется сканер, такой как WebInspect или AppScan. Когда результаты сканера веб-приложений объединяются с результатами статического анализа, они охватывают как потенциальные недостатки в коде, так и типичные уязвимости в развернутом приложении (при работе в такой среде, как ваша производственная среда).

Вы должны работать с вашей командой IA, чтобы определить процесс проверки приложения для развертывания в рабочей среде, а также кто отвечает за какие шаги в этом процессе. Скорее всего, вам потребуется запланировать их проведение ручного тестирования вашего приложения в вашей среде контроля качества или функционального тестирования.

Что касается отчета, если им нужны результаты вашего статического анализа, я бы посмотрел на создание отчета объемом менее 20 страниц для начала, который включает наиболее распространенные проблемы в веб-приложениях, если вы пишете веб-приложение. . Я неравнодушен к отчету CWE/SANS Top 25 2010 в SSC без опции «Подробный отчет».

person leftbrainstrain    schedule 24.05.2013

arrow_upward
0
arrow_downward

Я бы сгенерировал FPR с помощью SCA, извлек файл FPR (разархивировал), открыл audit.fvdl, проанализировал XML-тег Vulnerabilities, чтобы создать список проблем и загрузить их в программное обеспечение для создания отчетов. Если нужны какие-то переводы, это можно сделать во время загрузки. Вы можете проверить, как плагин Sonar делает что-то подобное.

person bvamos    schedule 23.10.2013