Fortify中文网站 > 最新资讯 > Fortify SSC权限怎么分配才合理 Fortify SSC角色改完后为何仍看不到应用
教程中心分类
最新资讯
使用教程
热门推荐
新手入门
Fortify SSC权限怎么分配才合理 Fortify SSC角色改完后为何仍看不到应用
发布时间:2026/06/01 15:54:55

  Fortify SSC的权限怎么分才合适,角色改完了怎么还是看不到应用,在安全平台多人一起用的时候,这两个问题是挺常碰到的,SSC不是光靠一个“管理员”或者“普通用户”的名头就能把访问权限管住的,它还得把角色的权限、应用版本的授权、项目团队的范围,还有认证的来源,这好几样东西揉到一块儿,才能去判断一个用户到底能干什么,按照官方文档讲的,角色的权限是能在用户管理的角色页面里查到的,一个角色到底能执行哪些操作,得一项一项去把它确认清楚。

  一、权限怎么分配才合理

 

  分配权限这件事,得照着岗位的职责来拆,别给所有搞研发的人都开成高权限,权限给得太大,一个不留神就容易误删应用、误改版本属性;权限给得太小,开发那边又会看不到缺陷,或者连上传结果的入口都找不着。

 

  1、管理员权限只留给少数人

 

  系统管理员管的是用户、角色、令牌、系统配置、应用管理和集成配置这些事情,这类权限不要按项目大量往外发,只给平台维护人员和安全方面的负责人,会妥当一些。

 

  2、安全审计人员按应用来授权

 

  安全人员平常要查看漏洞、修改审计状态、添加评论、确认误报,还要生成报告,可以把审计相关的角色给他们,但要框死在各自负责的应用或版本范围里面,免得跨着业务线,看到跟自己没关系的项目。

 

  3、开发人员只给整改的权限

 

  开发人员主要就是看自己项目的漏洞、代码位置、修复建议,还有以前扫描留下来的结果,一般用不着给他们全局管理的角色,要是开发也有上传扫描结果的需要,那就单独给他们分配上传或者跟CI相关的权限,别顺手把全局管理权限也一块儿塞过去。

 

  4、管理人员配上只读权限

 

  项目经理、质量人员、合规人员,这几类人通常就只是想看看统计数据、变化趋势、策略的状态,还有生成的报告,把那种只能看、不能动手改的权限给他们,就够用了,既能追着看看项目进展,也能少掉很多误操作的风险。

 

  二、角色改完了为什么还是看不到应用

 

  角色明明改过了,应用还是看不到,这常常不是角色没存上,而是用户身上还缺着一道叫应用版本访问范围的东西,角色管的是“你能去干些什么”,应用授权管的是“你能在哪些应用上做这些事”。

 

  1、只改了角色,没把应用指给他

 

  一个用户就算手里攥着查看或者审计的权限,也不代表他自动就能看到所有应用了,还得去确认一下,这个用户是不是被加进了目标应用,或者是某个应用版本的可见范围里面,以前的文档也提过,新建角色的时候可以去选,要不要让它一来就能访问所有的应用版本,但在实际项目里头,还是照着具体的范围去分配,会更靠得住。

 

  2、账号的来源给弄岔了

 

  要是公司接了LDAP、SAML或者单点登录这类东西,那同一个用户身上,有可能同时挂着一个本地账号,还有一个从外面接过来的账号,管理员在那边把本地账号的角色给改了,可用户实际登录的时候,用的是从外面接过来的那个号,这样一来,权限的变动,他自然是看不到的,官方文档里,也是把本地建的用户,和靠着SCIM这类方式管起来的外部用户,分得清清楚楚的。

  3、用户还待在旧的会话里面

 

  角色被调整过了以后,用户要是没有退出去重新再登一遍,页面那边,就有可能还在用着旧会话里留下来的权限,可以叫用户先去点一下退出,然后再重新进一次系统,实在不行的时候,把浏览器里的缓存清一清,再回过头去验证。

 

  4、应用版本的状态或者筛选条件在捣鬼

 

  有的时候,倒不是应用没给到权限,而是被页面上那些筛选的条件给悄悄藏起来了,得去检查一下应用列表里的过滤条件、业务属性、版本状态,还有搜索的时候敲进去的关键词,尤其是你只盯着某一个团队,或者只盯着某一种业务属性去看的时候,就特别容易,一不留神就以为应用不见了。

 

  三、权限变更以后要怎么核对

 

  权限被改完以后,是要拿着实实在在的动作去把它验上一遍的,不能光在用户列表里瞅一眼角色的名字,觉得差不离就行了,更把稳的法子,是照着账号、角色、应用版本,还有实际操作的能力,这么一层一层地查下去。

 

  1、核对用户所属的角色

 

  进到用户管理那里,找到这个用户,先确认他头上顶着的角色是不是真的给改对了,然后再跑到角色页面里,去把这个角色身上背着的具体权限,全都扒拉出来瞧一瞧,别光凭着一个角色的名字,就去猜它到底有多大的本事。

 

  2、核对应用能访问的范围

 

  进到目标应用,还有它底下的应用版本里面,去查一查这个用户,或者是他所在的那个用户组,是不是已经被加进了能访问的范围,要是公司用的是靠团队或者靠组去同步的法子,那还得再去确认一下,组的成员关系,是不是已经全都同步到SSC这边来了。

 

  3、拿用户自己的账号去亲手验证

 

  让用户重新登录以后,照着这个次序,一样一样地查过去:看能不能瞅见那个应用、能不能把版本给点开、能不能翻看那些Issue、能不能把报告给导出来、能不能把FPR文件给传上去,或者能不能动手改一下审计的状态,你希望他能干什么,就拿什么去验证,别就只验一下能不能登录成功便拉倒了。

 

  4、把权限为什么变动的记录留下来

 

  每一次动手调过权限,都要把是谁申请的、是谁批的、角色是怎么个变法、应用的范围又大了多少,还有新的规矩从什么时候开始生效,这些都给记下来,尤其是那些为了临时项目才给出去的权限,等项目的日子一到,就得去把它给收回来,免得那些老早以前的项目里的人,过了好久还攥着敏感应用的访问权,舍不得撒手。

  总结

 

  Fortify SSC的权限要怎么分才合适,角色改完了怎么还是看不到应用,这里头最要紧的地方,就是得把角色的权限,和应用能管到的范围,当成两码事来看,角色管的是一个用户能去比划些什么动作,应用或者版本的授权,管的才是这个用户到底能瞧见哪些项目,在动手分配的时候,照着管理员、安全审计、开发整改、管理只读这么几类去划开;到了排查的时候,就按着账号的来源、角色身上挂着的权限、应用那边有没有给到授权、登录的会话是不是还新鲜,还有页面上那些筛子是不是在暗中捣鬼,这么样一个挨着一个地把它给摸清楚了,差不多就能把瞅不见应用的病根给揪出来了。

读者也访问过这里:
135 2431 0251