我在几个非常大的项目上运行Fortify(2.6.5),但它没有标出几个关键问题,它确实必须这样做。看起来好像Fortify对名为'password'的变量进行了一些模式匹配,然后执行数据流分析。这很好,有助于确保隐私侵犯不会发生在敏感数据上,例如将它们写入记录器(在调试中)。Fortify 360 - 添加'密码'别名?
这一切都很好,但我们有一些密码通过其他变量名称(如“凭证”)传递到系统中的情况,以及需要在相同级别严格处理的其他机密信息处理,因为Fortify会处理包含字符串'password'的变量!
是否有一些简单的方法可以添加/配置这样的关键字列表,以便Fortify按照“密码”操作它们?
谢谢!并不是人们希望的简单解决方案,因为Fortify如何识别密码是什么,以及什么不是密码(无需遍历所有代码并在任何地方添加Fortify注释),但它会做。我会给它一个机会... – 2012-02-27 09:46:47