Micro Focus Fortify Software Security Center – Trucs et astuces

4 novembre 2021

Micro-focus Fortifier le centre de sécurité logicielle permet d'intégrer et d'automatiser les tests de sécurité avec le développement et d'obtenir une visibilité complète des risques de sécurité des applications.

Cet article contiendra les conseils et astuces mensuels de Fortify Software Security Center, qui regrouperont divers problèmes courants dans Fortify Software Security Center. Consultez cet article pour obtenir des conseils et astuces de dépannage pour d'autres outils.

Table des matières



  • Conseils du centre de sécurité de Fortify Software – janvier 2021
  • Conseils Fortify Software Security Center – février 2021
    • 1. L'erreur de suppression d'artefact persiste pendant un mois entier
    • 2. Résoudre l'« erreur de serveur interne 500 » lors de la connexion avec un seul utilisateur
    • 3. Instruction pour corriger le 'code d'erreur 2004 lors de l'installation de l'extension VS'
    • 4. Correction de l'erreur : UPDATEEXISTINGWITHLATEST lors du téléchargement du FPR sur SSC
    • 5. Correction du code d'erreur lors de l'ajout d'une nouvelle version d'application NPE
    • 6. Instructions pour corriger le 'TypeError : l'objet ne prend pas en charge cette action'
    • 7. Fixer la technicité de la purge des Artefacts de Projets soudainement
    • 8. Instructions pour résoudre la date d'analyse SCA incorrecte ou erronée
    • 9. Instructions pour supprimer manuellement le propriétaire de l'application
    • 10. Lorsqu'il y a une difficulté à créer de nouveaux projets d'application et marqués plus tard comme Terminer plus tard
  • Conseils du Centre de sécurité des logiciels Fortify – mars 2021
    • 1. Comment supprimer un utilisateur LDAP avec la propriété du projet
    • 2. Source de contenu non sécurisée : style-src
    • 3. Étapes pour installer une nouvelle licence Fortify
    • 4. Fortifier les alertes par e-mail SSC ne fonctionne pas à 100 %
    • 5. Apprenez une autre façon de purger la base de données Fortify SSC
    • 6. Recalcul complet de la métrique
    • 7. Le téléchargement de fichiers volumineux entraîne une erreur GC
    • 8. Recherche par date de découverte du problème
    • 9. Le rapport de problème SSC pour DISA STIG n'affiche pas l'option 4.9 dans la liste déroulante
    • 10. L'interface utilisateur ne peut pas lire la longueur de la propriété Null
  • Conseils du centre de sécurité logicielle Fortify – avril 2021
    • Est-il possible de fournir une condition OU dans une requête de recherche ?
    • Supprimer le propriétaire de l'application
    • Date d'analyse SCA erronée ou incorrecte
    • Erreur d'indexation – Contacter l'administrateur
    • Recalcul complet de la métrique
    • Source de contenu non sécurisée : style-src
    • Source de contenu non sécurisée : style-src
    • Erreur lors de la création de nouveaux projets d'application - marqués comme Terminer plus tard
    • L'intégration SAML 2.0 ne fonctionne pas. La version 18.20 fait comme le // (Double URL)
    • Réception d'erreurs de serveur SQL lors de la tentative d'extraction de la règle Fortify définie sur SSC
  • Conseils de Fortify Software Security Center – mai 2021
    • 1. Nous ne sommes pas en mesure de trouver le lien pour le SSC et de nous y connecter. Nous ne pouvons pas créer de nouveaux utilisateurs dans l'application
    • 2. Existe-t-il un calendrier pour la sortie de fortify prenant en charge .NET core 3.0 ?
    • 3. Init.token non écrit après la mise à niveau vers Tomcat 9
    • 4. Où se trouve le plugin Jira inclus ?
    • 5. Après avoir configuré SSC au point d'ensemencer la base de données avec succès, une fois que je redémarre le serveur, le site ne s'affiche plus
    • 6. TypeError : l'objet ne prend pas en charge cette action
    • 7. Erreur de déploiement HTTPS
    • 8. DB endommagée par SSO
    • 9. CVE-2020-1938 – Vulnérabilité Apache Tomcat Ghostcat
    • 10. Après avoir redémarré Apache, SSC donne une erreur 404
  • Conseils du centre de sécurité de Fortify Software – juin 2021
    • 1. Comment trouver les informations de la base de données SSC ?
    • 2. Mise à niveau vers 20.1 - Obtention d'une erreur lors de la connexion de test lors de la configuration
    • 3. TypeError : Impossible de lire la propriété 'longueur' de null
    • 4. Configurer une tâche Jenkins pour qu'elle échoue en fonction du nombre de problèmes prioritaires
    • 5. Impossible d'accéder à SSC à distance (404 introuvable)
    • 6. Les filtres SSC ne fonctionnent pas
    • 7. Comment réduire la taille des journaux d'événements SSC ?
    • 8. SCA 18.20 pour charger les résultats d'analyse de SCA 19.1 et 19.2
    • 9. Comment désactiver le SSO dans la base de données MS SQL ?
      • Voulez-vous en savoir plus sur la désactivation complète de SSO dans la base de données du serveur ms sql ?
    • 10. Erreur SSC 20.10 SQL Integrated Security : Ce pilote n'est pas configuré pour l'authentification intégrée.

Conseils du centre de sécurité de Fortify Software – janvier 2021

1. Instructions pour résoudre le problème lorsque les erreurs du serveur SQL de réception tentent de récupérer la règle de renforcement déclenchée par SSC

Il est souvent observé parmi les utilisateurs que lorsqu'ils reçoivent des erreurs de serveur SQL en essayant de récupérer la règle Fortify définie sur SSC, il y a une erreur. De nombreuses versions de Fortify échouent à l'étape où le serveur SQL tente de récupérer la règle Fortify définie sur le site SSC. Cette commande particulière dans les scripts :

|__+_|

Il échoue complètement toute l'exécution du script avec un : Erreur 6224 : le serveur a renvoyé : HTTP/1.1 500

On observe que réexécuter le script n'aide pas vraiment, et il peut ou non devancer cela et réussir. Les erreurs dans les journaux qui correspondent à l'heure de l'erreur sont indiquées ci-dessous :

|__+_|

Cette erreur peut être corrigée, l'utilisateur doit principalement prendre des mesures préventives. L'utilisateur doit défragmenter et réindexer l'ensemble de la base de données. Après cela, les utilisateurs ne rencontreront plus cette erreur.

2. Déterminer si la condition OU peut être fournie dans une requête de recherche

Les utilisateurs ont souvent des doutes quant à la disponibilité de la condition OU dans une requête de recherche, voire pas du tout. Les utilisateurs ont souvent besoin d'interroger l'API jobs mais ne peuvent renvoyer que des valeurs identiques à celles données ci-dessous :

|__+_|

Les utilisateurs ont consulté le cas afin de comprendre et de savoir comment utiliser les deux opérateurs de l'API, AND et OR. On observe d'après les tests, que les deux opérateurs ET/OU ne fonctionnent pas vraiment pour trouver la chaîne de requête. La documentation de l'API contient certains exemples qui ne contiennent qu'un seul champ utilisé pour la recherche. Notez également que les exemples n'utilisent pas d'opérateurs ET/OU.

Une fois la syntaxe et la documentation soigneusement inspectées, on observe que les opérateurs booléens (AND/OR) ne sont pas pris en charge dans les API SSC REST tout en utilisant également la recherche de chaîne de requête. Ainsi, une seule condition peut être utilisée.

3. Résolution de la configuration de Fortify Software Security Center (SSC) - Erreur d'amorçage de la base de données

Il est observé parmi les utilisateurs qu'ils rencontrent une configuration Fortify Software Security Center (SSC) - Erreur d'amorçage de la base de données.

Lorsque les utilisateurs sont en train de configurer le Fortify Software Security Center, ils rencontrent une autre erreur similaire, le message est donné ci-dessous :

Échec de l'amorçage :

Impossible d'amorcer tous les bundles d'initialisation Veuillez rechercher les journaux SSC joints et faire le nécessaire pour résoudre le problème. Base de données installée : Mysql – 5.7.28 et pilote jdbc – 8.0.18

Cette erreur peut être corrigée facilement, les utilisateurs n'ont qu'à suivre les instructions :

  1. L'utilisateur doit arrêter Tomcat.
  2. Assurez-vous de supprimer le dossier Catalina du répertoire d'installation d'Apache Tomcatwork.
  3. Ensuite, vous devez supprimer le dossier ssc des applications Web.
  4. Supprimez maintenant le ssc.war
  5. Après cela, vous devez effacer tous les journaux Tomcat.
  6. Vous devez maintenant supprimer le dossier .fortify.

Ensuite, vous devez utiliser les fichiers que vous allez télécharger pour effectuer les tâches indiquées ci-dessous :

  1. Vous devez lancer le fichier drop-tables.sql de la même manière que vous l'avez exécuté précédemment.
  2. Exécutez maintenant le fichier create-tables.sql de la même manière que vous l'avez exécuté précédemment.
  3. Ensuite, vous devez ajouter le nouveau ssc.war dans le dossier des applications Web.
  4. Vous devez maintenant démarrer Tomcat.
  5. Accédez à l'assistant SSC, passez maintenant à la procédure de configuration.
  6. Ensuite, dans l'URL JDBC, vous devez utiliser avec précaution le classement DB utf8_bin.
  7. Ensuite, dans l'ensemencement, vous devez suivre l'ordre indiqué ci-dessous :
  • Fortify_Process_Seed_Bundle-2018_Q3.zip
  • Fortify_Report_Seed_Bundle-2018_Q3.zip
  • Fortify_PCI_Basic_Seed_Bundle-2018_Q3.zip

4. Obtenir le support CORS du client JavaScript

Les utilisateurs ont besoin d'aide pour obtenir le support CORS du client JavaScript pour de meilleures performances. Il est observé parmi les utilisateurs que lorsque Fortify bloque toutes leurs demandes de connexion à l'API Fortify SSC à partir des applications JavaScript internes. Il a été bloqué en raison d'une configuration CORS appropriée insuffisante.

Les utilisateurs ont essayé de définir la même chose dans le web.xml, mais ils n'ont pas réussi. Les utilisateurs ont besoin d'une assistance professionnelle pour obtenir la bonne configuration à ajouter au fichier de configuration SSC Tomcat. C'est ainsi qu'ils pourront autoriser leurs applications javascript à passer la vérification préalable du navigateur CORS sans aucun problème.

Le message d'erreur que l'utilisateur rencontre pour le test localhost qu'il a configuré est donné ci-dessous :

|__+_|

Pour commencer, les utilisateurs doivent noter qu'il existe une demande d'amélioration OCTCR pour cette erreur dans SSC : OCTCR11A122354

Les utilisateurs peuvent facilement sortir de ce problème, ils doivent contourner le support CORS dans les services Tomcat. Le contournement doit être effectué pour toutes les applications Web hébergées dans /applications Web/ ; c'est dans le SSC. Les utilisateurs doivent suivre certaines instructions pour activer tous les appels d'API REST vers l'API SSC via des filtres CORS dans les services Tomcat :

  1. L'utilisateur doit faire une sauvegarde du fichier web.xml dans /conf/ dossier.
  2. Ensuite, vous devez modifier le web.xml fichier, puis vous devez ajouter avec soin les entrées liées à CORS indiquées ci-dessous :
|__+_|
  1. L'utilisateur doit noter que ces entrées sont entièrement liées au filtre CORS pour le service Tomcat.
  2. Ensuite, dans cors.allowed.origins, les utilisateurs doivent spécifier avec précision *, c'est-à-dire autoriser tout type d'origine pour les demandes susceptibles d'obtenir des informations à partir du site ciblé. Dans cette situation, l'un des points de terminaison de l'API REST SSC dont l'utilisateur a besoin pour effectuer des tâches.
  3. Vous devez maintenant vous rappeler d'enregistrer toutes les modifications dans le fichier web.xml.
  4. Après cela, vous devez redémarrer le service Tomcat.

Une fois ces étapes parfaitement exécutées, l'utilisateur doit essayer d'envoyer une demande à SSC à partir du client JS via le filtre CORS du service Tomcat.

5. Correction de l'erreur d'indexation - Contacter l'administrateur

Il est observé parmi les utilisateurs qu'il existe un index de recherche global manquant dans leur système. Il s'affiche après la mise à jour du Fortify SSC de la version 17.20 vers la 18.20 sous Windows Systèmes d'exploitation . Ils rencontrent une erreur dans l'onglet le plus haut de l'interface utilisateur Web, l'erreur indique : Erreur d'indexation – Contactez l'administrateur.

La cause principale de cette erreur récurrente est que l'emplacement SearchIndex n'a pas été défini correctement. Ceci est noté conformément aux faits dans les fichiers journaux et de configuration, emplacement SearchIndex :

|__+_|
  1. L'utilisateur doit terminer et arrêter le serveur Tomcat.
  2. Ensuite, vous devez naviguer vers //conf.
  3. Faire une sauvegarde du fichier app.properties .
  4. La ligne 8 affichera la propriété searchIndex.location=. L'utilisateur doit simplement définir le chemin correct vers le dossier .fortify, qui doit être sans espace. Un exemple est donné ci-dessous à titre de référence :
|__+_|
  1. Une fois cela fait, l'utilisateur doit démarrer le serveur Tomcat.

6. Exécution du rapport Fortify SSC – Rapport OWASP 2017

Les utilisateurs ont souvent besoin d'aide pour exécuter le rapport Fortify SSC - OWASP 2017 Reporting et les moyens d'ajouter le rapport à SSC. On observe chez les utilisateurs que seuls les rapports de l'année précédente sont disponibles dans les sélections de rapports. Ils ont également essayé le filtrage par OWASP TOP 2017, il est noté que cela entraîne un échec, mais pas spécifiquement dans le reporting.

L'utilisateur doit également noter que l'ID 2017 n'est pas accessible et n'est pas disponible dans la section des paramètres du générateur de rapport.

  1. L'utilisateur doit accéder à l'administration, puis accéder aux modèles.
  2. Sous Modèles, vous devez cliquer sur Rapports, puis sur OWASP Top 10.

Ensuite, vous devez modifier le paramètre nommé 'Options'.

Ensuite, vous devez ajouter un nouveau paramètre :

Valeur d'affichage : « OWASP Top 10 2017 »

Valeur du rapport : '3C6ECB67-BBD9-4259-A8DB-B49328927248'

À l'aide des étapes indiquées ci-dessus, l'option OWASP Top 10 2017 sera disponible au moment de la génération d'un rapport OWASP Top 10. Les utilisateurs doivent également noter qu'ils ont mis à jour tous les Rulepacks (la dernière version est Q4-2017) dans SSC. C'est important pour pouvoir utiliser ce mappage de liste externe récent.

7. Effectuer un recalcul complet de la métrique

Les utilisateurs se demandent souvent comment initier un recalcul de métrique pour TOUTES les versions d'application dans SSC et des informations connexes sur le recalcul de métrique complet. On observe également que la fonction de redémarrage du serveur SSC aide dans ce domaine.

L'utilisateur dispose d'un nouvel indicateur de performance personnalisé et souhaite que toutes ses mesures soient recalculées. Cela aidera car la nouvelle valeur de l'indicateur de performance sera mise à jour pour chacun d'eux.

Au moment de la création de l'indicateur de performance personnalisé, toutes les mesures seront recalculées pour toutes les versions de l'application, où que l'utilisateur ait apporté des modifications. Par exemple, l'audit, le téléchargement de .fpr, entre autres.

Ce nouveau calcul sera applicable avec les paramètres de l'actualisation de l'instantané. Cela dépend également des paramètres d'actualisation de l'instantané, les métriques seront recalculées pour la version spécifique de l'application essentiellement avec tout type de modifications.

Donc, maintenant que l'utilisateur doit avoir TOUTES les versions de l'application ainsi que leurs métriques recalculées, vous pouvez suivre les instructions ci-dessous pour ce faire :

  1. L'utilisateur doit ajouter la valeur invalidate.snapshots.after.variables.changes=true dans le fichier app.properties situé dans /Windows/System32/config/systemprofile/.fortify/ssc/conf/
  2. Ensuite, vous devez démarrer le service Tomcat, en particulier pour SSC.
  3. Cette valeur spéciale vous aidera à autoriser le recalcul des métriques pour TOUTES les versions de l'application. Cela serait fait conformément aux paramètres existants que vous avez déjà dans le planificateur. Ensuite, vous devez accéder à Snapshot Refresh et le sélectionner.

8. Instructions pour corriger l'erreur lorsque SSC Seeding manque de mémoire

Il arrive souvent avec les utilisateurs qu'au moment de l'amorçage de la base de données, la graine échoue avec un message d'erreur indiquant qu'il y a une erreur de tas JAVA dans le fichier journal SSC. C'est un fait que si les paramètres précis sont sélectionnés au moment de l'installation et de la configuration de la base de données, ce type de message d'erreur ne s'affichera pas.

Généralement, cela l'erreur est due à JAVA ne disposant pas d'un espace mémoire suffisant pour exécuter l'amorçage et le remplissage de la base de données. Pour cette raison, cela entraîne un échec et donc le message d'erreur.

Cette solution est particulièrement destinée à l'erreur d'amorçage du tas Java :

Les utilisateurs reçoivent une directive de base, à savoir qu'il doit s'agir d'un minimum de 4 Go et d'un maximum d'environ 1 à 2 Go ci-dessous selon ce qui est affiché sur l'appareil.

  1. Vous devez accéder au fichier /bin. Ensuite, vous devez créer un fichier nommé setenv.sh pour les systèmes d'exploitation Linux ou setenv.bat pour les systèmes d'exploitation Windows.
  2. Ensuite, dans le fichier setenv, l'utilisateur doit utiliser le format indiqué ci-dessous. Cela les aiderait à définir la taille du tas à l'aide des paramètres fournis :

Spécifiquement pour le système d'exploitation Linux : exporter CATALINA_OPTS=-Xms4096M -Xmx10240M

Spécifiquement pour le système d'exploitation Windows : définir CATALINA_OPTS=-Xms4096M -Xmx10240M

  1. Le -Xms est le minimum et le -Xmx est le maximum.
  2. Vous devez enregistrer le fichier pour conserver les modifications, puis redémarrer Tomcat.

Ensuite, l'utilisateur doit repasser par la configuration SSC, puis l'ensemencement sera précis sans aucun problème.

9. Instructions pour exporter correctement le contenu fortifié

Souvent, les utilisateurs demandent de l'aide pour exporter le contenu Fortify au format natif via une API ou un processus par lots.

Afin de trouver des informations concernant l'exportation du contenu Fortify au format natif via une API ou un lot, vous pouvez suivre les étapes ci-dessous :

Pour accéder à la documentation de l'API Fortify Software Security Center :

  1. L'utilisateur doit accéder à l'en-tête Fortify, puis cliquer sur l'icône d'aide. Ensuite, ils pourront voir la boîte À propos de Fortify Software Security Center.
  2. Ensuite, vous devez sélectionner la documentation de l'API. Ensuite, la page Web FORTIFY SOFTWARE SECURITY CENTER API DOCUMENTATION VERSION s'ouvrira et s'affichera à l'écran.

Ensuite, l'utilisateur pourra comprendre comment effectuer la configuration appropriée pour GET, POST, PUT et DELETE.

10. Étapes pour réinitialiser le mot de passe administrateur sur SSC

Il arrive souvent que les utilisateurs rencontrent des problèmes de connexion LDAP, celui-ci s'affiche comme expiré. Il est recommandé de mettre à jour le nouveau mot de passe dans les paramètres de connexion LDAP dans SSC.

Le problème se pose ici car l'utilisateur ne peut pas se connecter au SSC avec un compte 'Admin'. Le privilège d'administrateur du compte de service WIE est également refusé. Ainsi, les utilisateurs demandent de l'aide pour réinitialiser le mot de passe administrateur (compte non domaine) sur SSC.

Cette erreur peut être résolue, l'utilisateur doit effectuer les étapes ci-dessous avec précision,

  1. L'utilisateur doit s'assurer qu'il dispose d'une sauvegarde sécurisée de sa base de données.
  2. Ensuite, vous devez mettre en œuvre le SQL déclaration donnée ci-dessous dans la base de données SSC.

Cette requête spécifique réinitialisera le mot de passe administrateur à son état initial 'admin'. Ensuite, il déverrouillera le compte en réinitialisant toutes les tentatives de connexion infructueuses effectuées. L'utilisateur doit noter qu'il s'agit d'une requête MSSQL.

Spécifiquement pour la version 20.1.x :

|__+_|

Spécifiquement pour la version 19.x :

|__+_|

Spécifiquement pour les versions antérieures à 19.x :

|__+_|