Fortifyツールを使用してセキュリティの脆弱性をチェックしています。アクセス制御データベースの問題で修正するのが難しいアクセス制御:データベース(Fortify)
`public BigDecimal getLctnId(String roId){ クエリqueryCaseId = em.createNamedQuery(" RegionalOffice.getLctnId "); queryCaseId.setParameter( "roId"、roId);
BigDecimal lctnId = null;
try {
lctnId = (BigDecimal) queryCaseId.getSingleResult();
} catch (Exception e) {
}
return lctnId;
}
` 我々はデータが実際に信頼できるソースから来ていることを強化示すことができます方法はありますか?
ありがとうございました。
クライアントでは、Fortifyが信頼されているデータソースにフラグを立てているので、これを多く使用しています。
まず、データソースが実際に信頼できるものであることを確認します。通常、これは厳密にアクセス制御されていること(システム管理者だけでなく、他の従業員でもユーザデータもない)、暗号化され、変更されたことを意味します(システム管理者が悪意のある場合)。それが信頼できるものであり、何が変わる可能性があるかを文書化する。特定のタイプのすべての入力が信頼されている場合
これを行う:
2つのオプションがあり、それが信頼されています強化伝えるために。 (したがって、すべてのファイルシステム入力、またはすべてのデータベース入力など)Audit Workbenchでは、上部のバナーから監査ガイドを開き、詳細モードを選択し、これらの入力を信頼するようにFortifyに指示するチェックボックスをオンにします。残念ながら、信頼できるデータベースと信頼できないデータベースの2つを使用している場合、FortifyにこれらのDBのうちの1つだけを信頼するように指示する方法はありません。
その問題の概要(下の中央パネル)では、「信頼できるデータソース、[document]を参照してください」というコメントを記入してください。分析を「問題ではない」とマークし、必要に応じて赤いXボタンで抑制します。 (多くの企業は、開発者が問題を抑止しないように、Fortify社の所有者に確認してください)。これは手作業ですが、問題を複数選択してすべての人に同時に適用することができます。