HP Fortify -- 注释方法参数

Question

我正在尝试消除 Java 应用程序的 HP Fortify 扫描中的误报。

此方法会导致“隐私违规”问题（PrintWriter 是一个 servlet 响应）

 private void writeOutput(String passwordRules, PrintWriter out) {
      ...
      out.print(passwordRules);
      ...
 }

这是因为 Fortify 遵循命名约定，决定 passwordRules 包含私有数据。但我的passwordRules 不是私人数据——它包含诸如“最少 8 个字符”之类的内容。

我可以通过更改变量的名称来消除错误。但是原则上我不想为了源代码分析器的利益而损害我的代码的可读性。

我希望这能解决它：

 private void writeOutput(@FortifyNotPassword String passwordRules, PrintWriter out) ...

但是，注释似乎不是针对该上下文编写的：

 The annotation @FortifyNotPassword is disallowed for this location.

我试过了：

 private void writeOutput(String passwordRules, PrintWriter out) {
      ...
      @FortifyNotPassword String rules = passwordRules;
      out.print(rules);
      ...
 }

... 但这并不能消除误报。 （而且它损害了我不降低代码可读性的原则）。

我也用@FortifyNotPrivate 尝试了上述方法，结果相同。

那么正确的做法是什么？

Answer 1

Fortify 为您提供了两种处理这种情况的方法：1) 隐藏问题，或 2) 隐藏问题。您选择哪一种取决于您认为最适合您的方式。

已抑制的问题。如果您确定特定漏洞不存在且永远不会存在问题，则可以将问题标记为已抑制。您可能还希望禁止针对可能不是高优先级或直接关注的特定类型问题的警告。例如，您可以抑制已修复的问题，或者在您的情况下不打算修复的问题。被抑制的问题不包括在问题面板中显示的组总数中。当您想完全消除对问题的认识时，这种方法可能是最好的。

隐藏的问题。您可以暂时隐藏一组问题，以免在您专注于其他地方时分心。例如，您可以隐藏除分配给您的问题之外的所有问题。被指派解决您隐藏在视图中的问题的个人仍然可以访问它们。问题面板中显示的组总数包括隐藏的问题。如果您在文件夹列表中发现要隐藏或指向另一个文件夹的问题，您可以使用过滤器向导创建新过滤器。过滤器向导显示所有符合过滤器条件的属性。文档 HP_Fortify_Audit_Workbench_User_Guide_4.30 的第 29 页；此文档与您的 Fortify 程序文件一起提供。如果您希望其他人意识到这些问题，即使您忽略它，这种选择可能更可取。

已删除问题。此替代方案与您的情况并不特别相关，但为了完整起见，我将其呈现。随着时间的推移对一个项目进行多次扫描，问题通常会得到修复或过时。在合并扫描结果时，静态代码分析器将在先前扫描中发现但在最近的 SCA 分析结果中不再明显的问题标记为已删除。已删除的问题不包括在问题面板中显示的组总数中。由于您不打算“修复”此问题，因此它不会成为“已删除的问题”。

要显示或隐藏抑制、隐藏和删除的问题，请使用选项菜单。可见性过滤器显示或隐藏问题。