Fortify e librerie di terze parti [chiuso]

1

Sto cercando di capire nella nuova versione di Fortify SCA 17.10, perché la scansione è impostata per escludere le librerie di terze parti? Ho trovato questo articolo e sembra che ci sia una libreria open source che usi, sarebbe nel tuo interesse per risolvere questi problemi con la richiesta di sondaggio. Ho notato che alcuni dei risultati che ottengo da una scansione Fortify sono in genere falsi positivi, è per questo che ora Fortify esclude le librerie di terze parti? C'è una ragione legittima per questo?

    
posta developer_117 05.07.2017 - 17:29
fonte

1 risposta

1

Quindi, non so perché lo hanno fatto, ma conoscendo gli sviluppatori e il loro atteggiamento nei confronti di software di terze parti, ecco la mia speculazione:

  1. Gli sviluppatori non si preoccupano dell'intero sistema, vogliono sapere dei bug nel codice loro hanno scritto.
  2. La scansione di codice di terze parti richiede tempo. Perché dedicare del tempo a scoprire cose di cui lo sviluppatore medio non si interessa?

Gli sviluppatori dovrebbero preoccuparsi della sicurezza totale del prodotto? Ovviamente. Ma lo sviluppatore tipico non viene valutato su quello, (s) viene valutato sul codice che producono.

    
risposta data 05.07.2017 - 18:48
fonte

Leggi altre domande sui tag