Centre De Seguretat De Programari Fortify

Centre de seguretat de programari Micro Focus Fortify: consells i trucs

4 de novembre de 2021

Micro Focus Centre de seguretat de programari Fortify ajuda a integrar i automatitzar les proves de seguretat amb els desenvolupadors i a obtenir una visibilitat completa dels riscos de seguretat de les aplicacions.

Aquesta publicació inclourà els trucs i consells mensuals del Fortify Software Security Center, que seran una consolidació de diversos problemes comuns al Fortify Software Security Center. Consulteu aquest article per obtenir consells i trucs de resolució de problemes per a altres eines.

Taula de continguts

  • Consells del centre de seguretat de programari de Fortify: gener de 2021
  • Consells de Fortify Software Security Center – febrer de 2021
    • 1.L'error de supressió d'artefactes persisteix durant un mes sencer
    • 2. Resolució de l''Error intern del servidor 500' mentre inicieu sessió amb un sol usuari
    • 3. Instrucció per solucionar el 'Codi d'error 2004 a l'extensió VS d'instal·lació'
    • 4. Solucionant l'error: UPDATEEXISTINGWITHLATEST mentre es penja l'FPR a SSC
    • 5. Correcció del codi d'error quan s'afegeix una nova versió d'aplicació NPE
    • 6. Instruccions per solucionar el 'TypeError: Object doesn't support this action'
    • 7. Arreglar sobtadament la tecnicitat de la purga dels Artefactes del Projecte
    • 8. Instruccions per resoldre la data d'anàlisi SCA incorrecta o incorrecta
    • 9. Instruccions per eliminar manualment el propietari de l'aplicació
    • 10. Quan hi ha dificultats per crear nous projectes d'aplicacions i més tard marcats com a Finalitzar més tard
  • Consells del centre de seguretat de programari de Fortify: març de 2021
    • 1. Com esborrar l'usuari LDAP amb la propietat del projecte
    • 2. Font de contingut no segur: style-src
    • 3. Passos per instal·lar una nova llicència de Fortify
    • 4. Enforteix les alertes de correu electrònic de SSC que no funcionen al 100%
    • 5. Apreneu una manera alternativa de purgar la base de dades de Fortify SSC
    • 6. Recàlcul complet de la mètrica
    • 7. La càrrega d'un fitxer gran provoca un error GC
    • 8. Cerca per data de trobada d'emissió
    • 9. L'informe d'incidències de SSC per a DISA STIG no mostra l'opció 4.9 al menú desplegable
    • 10. La IU no pot llegir la longitud de la propietat nul·la
  • Consells per a Fortify Software Security Center - abril de 2021
    • És possible proporcionar una condició OR en una consulta de cerca?
    • Suprimeix el propietari de l'aplicació
    • Data d'anàlisi SCA incorrecta o incorrecta
    • Error d'indexació: contacteu amb l'administrador
    • Recàlcul complet de la mètrica
    • Font de contingut no segur: style-src
    • Font de contingut no segur: style-src
    • S'ha produït un error en crear projectes d'aplicació nous, marcats com a Finalitza més tard
    • La integració de SAML 2.0 no funciona. La versió 18.20 li agrada el // (URL doble)
    • La recepció d'errors del servidor SQL intentant obtenir la regla Fortify ha activat SSC
  • Consells de Fortify Software Security Center: maig de 2021
    • 1. No podem trobar l'enllaç per al SSC i iniciar-hi sessió. No podem crear nous usuaris dins de l'aplicació
    • 2. Hi ha una línia de temps en què es produirà el llançament de fortify que admeti .NET core 3.0?
    • 3. Init.token no escrit després de l'actualització a Tomcat 9
    • 4. On és el connector Jira inclòs?
    • 5. Després de configurar SSC fins al punt de sembrar la base de dades correctament, un cop reinici el servidor, el lloc ja no apareix
    • 6. TypeError: L'objecte no admet aquesta acció
    • 7. Error de desplegament HTTPS
    • 8. SSO danyada DB
    • 9. CVE-2020-1938 – Vulnerabilitat Apache Tomcat Ghostcat
    • 10. Després de reiniciar Apache, SSC està donant un error 404
  • Consells de Fortify Software Security Center – juny de 2021
    • 1. Com trobar informació de la base de dades SSC?
    • 2. Actualitza a 20.1: s'obté un error a la connexió de prova durant la configuració
    • 3. TypeError: No es pot llegir la propietat 'longitud' de null
    • 4. Configurar un treball de Jenkins per fallar en funció de la quantitat de problemes prioritaris
    • 5. No es pot accedir a SSC de forma remota (404 no trobat)
    • 6. Els filtres SSC no funcionen
    • 7. Com reduir la mida dels registres d'esdeveniments SSC?
    • 8. SCA 18.20 per carregar resultats d'exploració de SCA 19.1 i 19.2
    • 9. Com desactivar l'SSO a la base de dades MS SQL?
      • Voleu saber com es pot desactivar completament l'SSO a la base de dades del servidor ms sql?
    • 10. Error de seguretat integrada SSC 20.10 SQL: aquest controlador no està configurat per a l'autenticació integrada.

Consells del centre de seguretat de programari de Fortify: gener de 2021

1.Instruccions per solucionar el problema quan els errors del servidor SQL de recepció intentant obtenir la regla de fortificació activaven SSC

Sovint s'observa entre els usuaris que quan reben errors del servidor SQL intentant recuperar la regla Fortify activada SSC, hi ha un error. Moltes de les compilacions de Fortify fallen en el pas quan el servidor SQL intenta obtenir la regla de Fortify establerta al lloc SSC. Aquesta comanda en particular als scripts:

|_+_|

Falla completament l'execució de l'script amb un: Error 6224: el servidor ha retornat: HTTP/1.1 500

S'observa que tornar a executar l'script no ajuda realment, i es podria avançar o no i tenir èxit. Els errors dels registres que coincideixen amb el temps d'error es mostren a continuació:

|_+_|

Aquest error es pot solucionar, l'usuari principalment ha de prendre algunes mesures preventives. L'usuari ha de desfragmentar i reindexar tota la base de dades. Després d'això, els usuaris no tornaran a trobar aquest error.

2. Esbrinar si la condició OR es pot proporcionar en una consulta de cerca

Els usuaris sovint tenen dubtes sobre la condició O està disponible en una consulta de cerca, si n'hi ha. Els usuaris sovint necessiten consultar l'API de treballs, però només poden retornar valors idèntics als que s'indiquen a continuació:

|_+_|

Els usuaris han vist el cas per entendre i saber com utilitzar els dos operadors de l'API, l'AND i l'OR. Segons les proves, s'observa que tant els operadors I/O no funcionen realment per trobar la cadena de consulta. La documentació de l'API té alguns exemples que només conté un camp utilitzat per a la cerca. A més, tingueu en compte que els exemples no tenen operadors AND/OR utilitzats.

Un cop s'inspeccionen acuradament la sintaxi i la documentació, s'observa que els operadors booleans (AND/OR) no són compatibles amb les API REST de SSC mentre també s'utilitzen la cerca de cadena de consulta. Per tant, només es pot utilitzar una sola condició.

3. Resolució de la configuració del Centre de seguretat de programari (SSC) de Fortify: error de sembra de base de dades

Entre els usuaris s'observa que es troben amb una configuració de Fortify Software Security Center (SSC) - Error de sembra de base de dades.

Quan els usuaris estan en procés de configuració del Centre de seguretat del programari Fortify, es troben amb un altre error similar, el missatge es mostra a continuació:

La sembra ha fallat:

No es poden sembrar tots els paquets de llavor d'inici Si us plau, cerqueu els registres SSC adjunts i feu el necessari per resoldre el problema. Base de dades instal·lada: Mysql - 5.7.28 i controlador jdbc - 8.0.18

Aquest error es pot solucionar fàcilment, els usuaris només han de seguir les instruccions:

  1. L'usuari ha d'aturar Tomcat.
  2. Assegureu-vos d'eliminar la carpeta Catalina del directori d'instal·lació d'Apache Tomcat reball.
  3. Aleshores, heu de suprimir la carpeta ssc de les aplicacions web.
  4. Ara suprimiu el fitxer ssc.war
  5. Després d'això, heu d'esborrar tots els registres de Tomcat.
  6. Ara heu d'esborrar la carpeta .fortify.

Aleshores, heu d'utilitzar els fitxers que descarregareu per realitzar les tasques que s'indiquen a continuació:

  1. Heu d'iniciar el fitxer drop-tables.sql de la mateixa manera que l'heu executat anteriorment.
  2. Ara executeu el fitxer create-tables.sql de la mateixa manera que l'heu executat anteriorment.
  3. Aleshores, heu d'afegir el nou ssc.war a la carpeta d'aplicacions web.
  4. Ara heu d'iniciar Tomcat.
  5. Navegueu fins a l'assistent SSC, ara avança amb el procediment de configuració.
  6. Aleshores, a l'URL JDBC, heu d'utilitzar acuradament la col·lació de base de dades utf8_bin.
  7. A continuació, a la sembra, heu de seguir l'ordre que es mostra a continuació:
  • Fortify_Process_Seed_Bundle-2018_Q3.zip
  • Fortify_Report_Seed_Bundle-2018_Q3.zip
  • Fortify_PCI_Basic_Seed_Bundle-2018_Q3.zip

4. Obtenció de suport CORS del client JavaScript

Els usuaris necessiten ajuda per obtenir el suport CORS del client JavaScript per obtenir un millor rendiment. S'observa entre els usuaris que quan Fortify està bloquejant totes les seves sol·licituds per connectar-se a l'API Fortify SSC des de les aplicacions internes de JavaScript. S'ha bloquejat a causa d'una configuració CORS insuficient.

Els usuaris han intentat configurar el mateix al web.xml, però no han tingut èxit. Els usuaris necessiten assistència professional per obtenir la configuració adequada per afegir el fitxer de configuració SSC Tomcat. És perquè puguin permetre que les seves aplicacions javascript superin la comprovació del navegador CORS prèviament sense cap molèstia.

El missatge d'error que troba l'usuari per a la prova localhost que ha configurat es mostra a continuació:

|_+_|

Per començar, els usuaris han de tenir en compte que hi ha una sol·licitud de millora d'OCTCR per a aquest error a SSC: OCTCR11A122354

Els usuaris poden sortir fàcilment d'aquest problema, han de passar per alt el suport CORS als serveis Tomcat. El bypass s'ha de fer per a totes les aplicacions web allotjades /webapps/ ; que és a la SSC. Els usuaris han de seguir algunes instruccions per habilitar totes les trucades de l'API REST a l'API SSC mitjançant filtres CORS als serveis Tomcat:

  1. L'usuari ha de fer una còpia de seguretat del fitxer Fitxer web.xml a /conf/ carpeta.
  2. Aleshores heu d'editar el web.xml fitxer i, a continuació, heu d'afegir amb cura les entrades relacionades amb CORS que s'indiquen a continuació:
|_+_|
  1. L'usuari ha de tenir en compte que aquestes entrades estan totalment relacionades amb el filtre CORS del servei Tomcat.
  2. Aleshores, a cors.allowed.origins, els usuaris han d'especificar * amb precisió, és a dir, permetre qualsevol tipus d'origen per a les sol·licituds que puguin obtenir informació del lloc de destinació. En aquesta situació, qualsevol dels punts finals de l'API REST SSC que l'usuari necessita per realitzar tasques.
  3. Ara heu de recordar desar tots els canvis al fitxer web.xml.
  4. Després d'això, heu de reiniciar el servei Tomcat.

Després d'haver realitzat aquests passos a la perfecció, l'usuari ha d'intentar enviar una sol·licitud a SSC des del client JS mitjançant el filtre CORS del servei Tomcat.

5. Arreglar l'error d'indexació: contacteu amb l'administrador

S'observa entre els usuaris que hi ha un índex de cerca global que falta al seu sistema. Es mostra després d'actualitzar el Fortify SSC de la versió 17.20 a la 18.20 a Windows Sistemes operatius . Troben un error a la pestanya superior de la interfície d'usuari web, l'error diu: Error d'indexació: contacteu amb l'administrador.

La causa principal d'aquest error recurrent és que la ubicació de SearchIndex no s'ha configurat correctament. Això s'observa d'acord amb els fets dels fitxers de registre i configuració, ubicació de SearchIndex:

|_+_|
  1. L'usuari ha d'acabar i aturar el servidor Tomcat.
  2. Aleshores, heu de navegar a //conf.
  3. Feu una còpia de seguretat del fitxer app.properties .
  4. La línia 8 mostrarà la propietat searchIndex.location=. L'usuari només ha d'establir el camí correcte cap a la carpeta .fortify, que hauria de quedar sense espai. A continuació es presenta un exemple amb finalitats de referència:
|_+_|
  1. Un cop fet això, l'usuari ha d'iniciar el servidor Tomcat.

6. Execució dels informes Fortify SSC - Informes OWASP 2017

Els usuaris sovint necessiten ajuda per executar els informes Fortify SSC - Informes OWASP 2017 i maneres d'afegir l'informe a SSC. Entre els usuaris s'observa que només els informes de l'any anterior estan disponibles a les seleccions d'informes. També han provat de filtrar per OWASP TOP 2017 s'observa que es tradueix en un error, però no específicament en l'informe.

L'usuari també ha de tenir en compte que no es pot accedir a l'identificador de 2017 i que no està disponible a la secció de paràmetres del generador d'informes.

  1. L'usuari ha d'anar a l'Administració i després anar a Plantilles.
  2. A Plantilles, heu de fer clic a Informes i després a OWASP Top 10.

Aleshores, heu d'editar el paràmetre anomenat 'Opcions'.

Aleshores cal afegir un nou paràmetre:

Valor de visualització: 'OWASP Top 10 2017'

Valor de l'informe: '3C6ECB67-BBD9-4259-A8DB-B49328927248'

Amb l'ajuda dels passos indicats anteriorment, l'opció OWASP Top 10 2017 estarà disponible en el moment de la generació d'un informe OWASP Top 10. Els usuaris també han de tenir en compte que han actualitzat tots els paquets de regles (l'última versió és Q4-2017) a SSC. Això és important per poder utilitzar aquesta recent assignació de llista externa.

7. Realització d'un recàlcul complet de mètriques

Els usuaris sovint qüestionen maneres d'iniciar un recàlcul de mètriques per a TOTES les versions d'aplicacions a SSC i informació relacionada amb el recàlcul de mètriques complets. També s'observa que la funció de reinici del servidor SSC ajuda en aquest camp.

L'usuari té un nou indicador de rendiment personalitzat i voldria que es tornin a calcular totes les seves mètriques. Això ajudarà, ja que el nou valor de l'indicador de rendiment s'actualitzarà per a cadascun d'ells.

En el moment en què es va crear l'indicador de rendiment personalitzat, totes les mètriques es tornaran a calcular per a totes les versions de l'aplicació, sempre que l'usuari faci alguns canvis. Per exemple, Auditoria, pujada .fpr, entre d'altres.

Aquest recàlcul serà aplicable juntament amb la configuració de l'actualització de la instantània. També depèn de la configuració d'actualització de Snapshot, les mètriques es tornaran a calcular a la versió específica de l'aplicació bàsicament amb qualsevol tipus d'alteracions.

Per tant, ara l'usuari ha de tornar a calcular TOTES les versions de l'aplicació juntament amb les seves mètriques, podeu seguir les instruccions que es donen a continuació per fer-ho:

  1. L'usuari ha d'afegir el valor invalidate.snapshots.after.variables.changes=true al fitxer app.properties situat a /Windows/System32/config/systemprofile/.fortify/ssc/conf/
  2. Aleshores, heu d'iniciar el servei Tomcat, especialment per a SSC.
  3. Aquest valor especial us ajudarà a permetre el recàlcul de mètriques per a TOTES les versions d'aplicacions. Això es faria d'acord amb la configuració existent que ja teniu al Programador. Aleshores, heu d'anar a Actualitzar la instantània i seleccionar-lo.

8. Instruccions per corregir l'error quan SSC Seeding s'està quedant sense memòria

Sovint passa amb els usuaris que en el moment de sembrar la base de dades, la llavor falla amb un missatge d'error que diu que hi ha un error de pila JAVA al fitxer de registre SSC. És un fet que si es selecciona la configuració precisa en el moment de la configuració i la configuració de la base de dades, aquest tipus de missatge d'error no apareixeria.

En general, això L'error és causat per JAVA no disposar d'espai de memòria suficient per executar la sembra i la població de la base de dades. Per aquest motiu, es produeix un error i, per tant, el missatge d'error.

Aquesta solució és especialment per a l'error de sembra java heap:

Els usuaris reben una pauta bàsica, que ha de ser un mínim de 4 GB i un màxim d'entre 1 i 2 GB per sota d'acord amb el que es mostra al dispositiu.

  1. Heu de navegar a /bin. Aleshores, heu de crear un fitxer anomenat setenv.sh per als sistemes operatius Linux, o setenv.bat per als sistemes operatius Windows.
  2. Aleshores, al fitxer setenv, l'usuari ha d'utilitzar el format que es mostra a continuació. Això els ajudaria a establir la mida de la pila amb l'ajuda dels paràmetres proporcionats:

Específicament per al sistema operatiu Linux: exportar CATALINA_OPTS=-Xms4096M -Xmx10240M

Específicament per al sistema operatiu Windows: set CATALINA_OPTS=-Xms4096M -Xmx10240M

  1. El -Xms és el mínim i el -Xmx és el màxim.
  2. Heu de desar el fitxer per conservar els canvis i, a continuació, reinicieu Tomcat.

Aleshores, l'usuari ha de tornar a passar per la configuració SSC i, a continuació, la sembra serà precisa sense cap problema.

9. Instruccions per exportar correctament el contingut fortificat

Sovint, els usuaris demanen ajuda per exportar el contingut de Fortify en format natiu mitjançant una API o un procés per lots.

Per trobar informació sobre l'exportació del contingut de Fortify en format natiu mitjançant una API o un lot, podeu fer servir els passos que s'indiquen a continuació:

Per accedir a la documentació de l'API de Fortify Software Security Center:

  1. L'usuari ha d'anar a la capçalera de Fortify i després fer clic a la icona d'ajuda. Aleshores, podran veure la casella Sobre Fortify Software Security Center.
  2. A continuació, heu de seleccionar la documentació de l'API. Aleshores s'obrirà la pàgina web FORTIFY SOFTWARE SECURITY CENTER API DOCUMENTATION VERSION i es mostrarà a la pantalla.

Aleshores, l'usuari podrà esbrinar com pot fer la configuració adequada per a GET, POST, PUT i DELETE.

10. Passos per restablir la contrasenya d'administrador a SSC

Sovint passa que els usuaris es troben amb alguns problemes en la connexió LDAP, es mostra que està caducat. Es recomana que actualitzeu la nova contrasenya a la configuració de connexió LDAP a SSC.

El problema sorgeix aquí perquè l'usuari no pot iniciar sessió al SSC amb un compte 'Administrador'. També es denega el privilegi d'administrador del compte del servei WIE. Per tant, els usuaris busquen ajuda per restablir la contrasenya d'administrador (compte no domini) a SSC.

Aquest error es pot resoldre, l'usuari ha de realitzar els passos que s'indiquen a continuació amb precisió,

  1. L'usuari ha d'assegurar-se que té una còpia de seguretat segura de la seva base de dades.
  2. Aleshores cal implementar el SQL declaració que es mostra a continuació a la base de dades SSC.

Aquesta consulta específica restablirà la contrasenya d'administrador al seu estat inicial 'administrador'. A continuació, desbloquejarà el compte restablint tots els intents fallits d'inici de sessió realitzats. L'usuari ha de tenir en compte que es tracta d'una consulta MSSQL.

Concretament per a la versió 20.1.x:

|_+_|

Concretament per a la versió 19.x:

|_+_|

Concretament per a les versions anteriors a 19.x:

|_+_|