Fortify中文网站 > 最新资讯 > Fortify Rulepack怎么做离线更新 Fortify Rulepack更新后规则不一致怎么核对
教程中心分类
最新资讯
使用教程
热门推荐
新手入门
Fortify Rulepack怎么做离线更新 Fortify Rulepack更新后规则不一致怎么核对
发布时间:2026/06/01 15:50:33

  在Fortify SSC这类安全平台上面,多人一起协作的时候,经常会碰到两个比较头疼的问题,一个是权限到底该怎么分配才算合理,另一个就是明明已经改完了角色,可用户登录之后还是说看不到应用。SSC控制访问权限并不是简单地给用户贴上一个“管理员”或者“普通用户”的标签就完事了,它会把角色本身所带的权限、应用版本这一级的授权、项目团队的划分范围,还有用户是从哪里做的身份认证,这好几样东西综合到一起来决定某个人到底能干什么。按照官方的说明文档,角色所对应的权限可以去【Administration】→【Users】→【Roles】这个路径里面查看,而且每一个角色底下到底能够执行哪些具体的操作,都需要一条一条地去核对清楚。

  一、Fortify SSC权限怎么分配才合理

 

  给SSC分配权限的时候,最好是按照不同岗位的实际职责来拆开分配,不要图省事就把所有参与开发的人都开成很高的权限。如果权限开得太大,就很容易发生误删应用、误改版本属性这类麻烦事;可要是权限太小了,开发人员又可能会连自己项目的缺陷都看不到,或者没法上传FPR文件,反而拖慢了正常的流程。

 

  1、管理员权限只留给少数人

 

  系统管理员的角色一般要管用户账号、角色定义、令牌、系统配置、应用管理,还有跟外部系统的集成配置这些东西,所以这类权限不应该按项目大量地分发给很多人,只交给平台维护的人员和安全方面的负责人拿着会比较稳妥。

 

  2、安全审计的人员按应用来给授权

 

  安全人员平时要做的事情,主要是查看缺陷、修改审计的状态、添加评论、确认哪些是误报,还有生成报告这几项,可以给他们分配审计相关的角色,但要把权限的范围限制在他们自己负责的那几个应用或者应用版本里面,避免他们跨业务线看到其他不相关的项目。

 

  3、开发人员只分配整改需要的那部分权限

 

  开发人员日常工作里真正需要的,其实就是查看自己负责的那个项目里的漏洞、漏洞所在的代码位置、修复的建议,还有历史的扫描记录这些,一般是用不着去管全局性的角色配置的;要是有一部分开发需要自己上传扫描结果,可以单独把上传或者跟CI相关的权限分配给他,但不要顺便就把全局管理的权限也一块儿给出去了。

 

  4、给管理人员配置只读类的权限

 

  像项目经理、质量人员、合规人员这些角色,他们大多数时候只是想看看统计数据、趋势图、策略的状态,还有生成的报告,给这些人分配只读类的权限就足够用了,这样既能让他们掌握进展,又能减少因误操作而带来的风险。

 

  二、Fortify SSC角色改完后为何仍看不到应用

 

  角色被管理员改完了之后,用户那边还是说看不到应用,这种情况的原因,很多时候并不是角色没有保存成功,而是用户缺少了应用版本那一级的访问范围。简单来说,角色决定的是一个用户能做些什么样的动作,而应用版本的授权才决定了他能在哪些应用上面做这些动作。

 

  1、只改了角色却没有分配具体的应用

 

  用户就算拿到了查看或者审计的权限,也不等于他就自动能看到系统里所有的应用了,还需要再去确认一下,这个用户到底有没有被加入到目标应用或者应用版本的访问范围里面去。在SSC早期的文档里面也提到过,新建角色的时候可以选择是否拥有所有应用版本的访问权,但实际在项目当中,更加推荐的做法还是按具体的范围去单独做分配。

  2、弄混了登录时的账号来源

 

  如果企业里面接入了LDAP、SAML或者SSO这类外部的认证方式,一个用户很有可能同时会存在本地账号和外部账号两个不同的身份,要是管理员改动的是本地账号的角色,可用户实际登录的时候走的却是SSO认证,那他在页面里自然就看不到权限发生的变化。官方的文档里面也把本地用户和通过SCIM这类方式管理的外部用户做了明确的区分。

 

  3、用户的页面还保持在旧的会话里面

 

  角色被调整过了以后,如果用户那边没有退出系统再重新登录一次,浏览器里显示的页面很可能还在继续用着修改之前那个旧会话的权限,碰到这种情况,可以让用户先点击一下退出登录的按钮,然后再重新登进去看看,必要的时候还可以清掉浏览器的缓存来做验证。

 

  三、Fortify SSC权限变更后怎么核对

 

  每一次把权限改动完之后,都不能只是简单地在用户列表里面瞅一眼角色名称就算完事了,更加把稳的做法,是要拿具体的动作去实际验证一遍,可以按照账号、角色、应用版本、操作能力这样一层一层地往下查。

 

  1、先核对一下用户现在属于哪个角色

 

  先去【Administration】→【Users】这个页面里面,找到那个刚刚被改动过的用户,确认一下他现在被分配的角色是不是对的,然后再进到【Roles】里面去查看这个角色底下具体绑定了哪些详细的权限,不要光凭角色的名字就去判断它有哪些能力。

 

  2、再核对一下应用的访问范围

 

  进入到目标应用和它底下的应用版本里面去,检查一下这个用户或者他所在的那个用户组,是不是已经被加入到对应的访问范围里了;如果公司里面用的是团队或者组同步的方式,还要再去确认一下组成员的那些关系是不是已经成功地同步到了SSC里面。

 

  3、用那个用户自己的账号去做一遍实际的验证

 

  让用户重新登录到系统里之后,按顺序去检查一遍,看看他到底能不能看到应用、能不能打开版本、能不能查看Issue、能不能导出报告、能不能上传FPR,或者能不能修改审计状态,需要验证哪一项具体的操作能力,就直接去测那一项,不要只验证能不能登录成功这一个动作。

 

  总结

 

  Fortify SSC里面的权限怎么分配才算合理,以及角色被改完之后为什么还是会看不到应用,最重要的地方就是把角色的权限和应用的授权范围分开来理解清楚;角色控制的是一个用户到底能执行哪些操作动作,而应用或者应用版本的授权才决定了这个用户能够看到哪些具体的项目。在分配权限的时候,可以按照管理员、安全审计人员、开发整改人员、管理只读人员这几种岗位来分别给权限;等到排查看不见应用的问题时,就要按着账号的来源、角色的权限、应用的授权、会话的状态,还有页面上的筛选条件,这样一条一条地往下核对,基本上就能够把根本原因给定位出来了。

读者也访问过这里:
135 2431 0251