Fortify

False Positive (거짓 양성)  실제로는 음성인데 검사 결과는 양성인 경우  1종 오류(type I error)라고도 한다. False Negative(거짓 음성)  실제로는 양성인데 검사 결과는 음성인 경우  2종 오류(type II error)라고도 한다. True Positive(참 양성)  실제로 양성이고 검사 결과도 양성인 경우 True Negative(참 음성)  실제로 음성이고 검사 결과도 음성인 경우

1. MySQL Database 백업  mysqldump –single-transaction –routines –triggers –max_allowed_packet=2048M -u root -p<Password> db_ssc_2222 > 20240801_ssc_backup.sql 2. SSC 설치 진행  Database 항목에서 DB Connection 테스트 후 우측하단 스크립트 다운로드에서 ssc-migration.sql 다운로드  (하단 그림 참고) 3. ssc-migration.sql 스크립트로 DB 마이그레이션 진행  mysql -u root -p<Password> db_ssc_2222 < ssc-migration.sql   만일 오류 발생 시 아래의 스크립트를 실행하여 원상

https://microfocus.my.site.com/-> Sign in로그인 후 파트너 포털로 연결됨. Sales Tools > Enablement & Demonstrations Cybersecurity > Access Demo Software & Licenses Application Security > Fortify Partner Evaluation Sub SW E-LTU Submit Request for Software Eval  Quantity*: 1  Confirm ————————————————- https://sld.microfocus.com/계정 선택: JonSeok_Lee_Personal_Account  “↓다운로드” 클릭    제품: Fortify Static Code Analyzer    제품 이름 : Fortify Partner

fortify_ssc_report.java ssc_info.conf RUN.BAT run.sh

1. fortify_sca\bin\auditworkbench.cmdset USER_OPTS=-Xmx8G추가 2. fortify_sca\Core\private-bin\awb\productlaunch.cmd-Xmx4G 제거 또는 1번을 생략하고 여기에 Xmx 설정

AnalysisDownloadToken최대 사용량: 무제한최대 생존 일수:90이 다용도 토큰 사양은 사용자가 FPR(Fortify 프로젝트 보고서)을 프로그래밍 방식으로 다운로드하고 사용자와 관련된 모든 애플리케이션 버전을 나열하려는 경우 SSC(소프트웨어 보안 센터)에 대한 인증을 용이하게 하는 데 사용해야 합니다. AnalysisUploadToken최대 사용량:무제한최대 생존 일수:90이 다중 사용 토큰 사양은 사용자가 여러 업로드를 위해 FPR(Fortify Project Report)을 프로그래밍 방식으로 애플리케이션 버전에 업로드하고 사용자와 연결된 모든

출처: https://vulncat.fortify.com/ko 1.입력데이터 검증 및 표현 (Input Validation and Representation)  프로그램 입력값에 대한 검증 누락 또는 부적절한 검증, 데이터의 잘못된 형식 지정으로 인해 발생할 수 있는 보안취약점.     SQL 삽입    크로스사이트 스크립트(Cross Site Scripting, XSS)    크로스사이트 요청 위조(Cross Site Request Forgery, CSRF)    Format String Bug    Integer Buffer Overflow    Memory

1. 룰팩의 언어를 ko로 변경 후 SSC를 재 시작 한다. 이 부분이 선행되지 않으면 확장룰팩들이 적용되지 않는다.  ADMINISTRATION > Configuration > Core > Locale for rulepacks: ko 2. 확장 룰팩 업로드 3, APPLIATIONS > AUDIT < Group by 에서 확장 룰팩을 선택하여 리스트업 가능.

■개요  CodeQL은 GitHub 보안기능 중 하나로 개발자가 보안 검사를 자동화하고 취약점 진단을 수행하는데 사용되는 분석엔진이다.  CodeQL은 소스코드 컴파일을 모니터링하여 소스코드 내 데이터 흐름이나 변수등을 자체 DB에 저장하고, 전용 쿼리문을 통해 DB에서 원하는 결과를 도출 할 수 있다. ■관련 링크  https://codeql.github.com/docs/codeql-overview/  https://codeql.github.com/docs/codeql-language-guides/codeql-for-cpp/  https://dev.to/aws-builders/find-source-code-vulnerabilities-with-codeql-before-you-commit-2hof  https://github.com/github/codeql-cli-binaries/releases ■라이선스  1. 학문적 연구 또는 개인 사용 가능  2. GitHub.com에 등재된 오픈

1.plugins\org.eclipse.birt.report.data.oda.jdbc_4.9.0.v202203150031\drivers에 JDBC를 넣는다.(복수 가능) 2.Data Explorer > Data Sources | New Data Source > JDBC Data Source  Data source를 입력하고 연동한다.   ▨Sample:    MYSQL: jdbc:mysql://10.10.10.105:3306/db_ssc_2220?connectionCollation=utf8mb3_bin&rewriteBatchedStatements=true    Oracle: jdbc:oracle:thin:@10.10.10.105:1521:orcl    MS-SQL: jdbc:sqlserver://10.10.10.105:1433;database=db_ssc_2020;connectionCollation=korean_wansung_cs_as;sendStringParametersAsUnicode=false 3.Data Explorer > Data Sets | New Data Set  ①Query Text를 입력한다.  ②ApplicationID로 처리될 부분은 Query에서 “WHERE projectversion.id IN @ID”로 처리한다.    테스트

/opt/ssc_data/ssc0/ssc_XXXX/conf/datasource.properties에서 암호화 되어 있는 db.username과 db.password을 재암호화 또는 복호화 처리 ■암호화cd sca/bin./pwtool /opt/ssc_data/ssc0/ssc_XXXX/conf/secret.keyKeys stored in “D:\0_tmp\1\bin\secret.key” will be used for encryptionEnter a string to be encrypted:Encrypted value:{fp0}jt//8sL5V814O5oEV0FPhxS7+TrRfLkV2mwjXGYHW14= ■복호화cd sca/bin./pwtool -d /opt/ssc_data/ssc0/ssc_XXXX/conf/secret.keyKey stored in D:\0_tmp\1\bin\secret.key will be used for decryptionWARNING: Decrypted value will be echoed to the standard outputEnter encrypted string:Decrypted value:myPassWd!

https://microfocuspartner.force.com/ https://sld.microfocus.com/