Почему Fortify SCA сообщает о проблемах с файлами, которых больше нет в моем проекте?

Question

Почему Fortify SCA сообщает о проблемах с файлами, которых больше нет в моем проекте?

У меня есть настройка сканирования SCA для моего проекта с использованием плагина sca-maven-plugin, который я собрал из исходного кода и установил в свой локальный репозиторий. Моя сборка запускается через агент сборки TeamCity на сервере, на котором установлен Fortify.

У меня нет проблем с запуском сканирования, и я с удовольствием генерирую отчеты из сгенерированного файла.fpr с помощью ReportGenerator. Ранние отчеты указывали, что у меня были некоторые уязвимости из файлов PHP, которые были ошибочно включены в проект (который является проектом Java). С тех пор, как эти файлы были удалены, почему Fortify по-прежнему сообщает об уязвимостях для этих файлов, хотя их больше нет в моем проекте?

Я подтвердил, что агент сборки настроен на очистку всех источников перед проверкой последних версий, и на самом деле я могу видеть на самом сервере, что эти файлы PHP больше не существуют, но отчеты и.fpr по-прежнему сообщают о проблемах с ними.

Есть ли где-то проблемы с отслеживанием / отслеживанием тенденций, которые мне также необходимо устранить, или я что-то упускаю?

Вывод из сборки, показывающий, что файлы действительно отсутствуют, но все еще включены в область анализа ниже:

[07:40:16][com.....myapp:web] [INFO] --- sca-maven-plugin:3.90:scan (default-cli) @ web ---
[07:40:16][com.....myapp:web] [INFO]                    Packaging -> war
[07:40:16][com.....myapp:web] [INFO]        Top-Level Artifact ID -> web
[07:40:16][com.....myapp:web] [INFO]                  Build Label -> web-2.0.0-SNAPSHOT
[07:40:16][com.....myapp:web] [INFO]                Build Version -> 2.0.0-SNAPSHOT
[07:40:16][com.....myapp:web] [INFO]           Build Project Name -> web
[07:40:16][com.....myapp:web] [INFO]                     Build ID -> web-2.0.0-SNAPSHOT
[07:40:16][com.....myapp:web] [INFO]                 Results File -> C:\...\buildAgent\work\c649372994269e88/myapp.fpr
[07:40:16][com.....myapp:web] [INFO]   Location of SCA Executable -> sourceanalyzer
[07:40:16][com.....myapp:web] [INFO]                     Scan Log -> C:\...\buildAgent\work\c649372994269e88\web\target/sca-scan.log
[07:40:16][com.....myapp:web] [INFO]             FindBugs Results -> false
[07:40:16][com.....myapp:web] [INFO]                Fail on Error -> false
[07:40:16][com.....myapp:web] [INFO]                Upload to SSC -> false
[07:40:16][com.....myapp:web] [INFO] Issues will not be tracked and trended without uploading to SSC.
[07:40:16][com.....myapp:web] [INFO] *** !! Scanning aggregate project - web !! ***
[07:40:16][com.....myapp:web] [INFO] Created output dir C:\...\buildAgent\work\c649372994269e88\web\target
[07:40:16][com.....myapp:web] [INFO] cmd: "cmd.exe /X /C "sourceanalyzer -scan @C:\...\buildAgent\work\c649372994269e88\web\target/sca-scan-args.txt""
[07:40:19][com.....myapp:web] Fortify Static Code Analyzer 6.00.0096
[07:40:25][com.....myapp:web] [error]: File C:/.../buildAgent/work/c649372994269e88/web/target/myapp/WEB-INF/views/components/datatables/media/unit_testing/templates/dom_data_th.php not found
[07:40:25][com.....myapp:web] [error]: File C:/.../buildAgent/work/c649372994269e88/web/target/myapp/WEB-INF/views/components/datatables/media/unit_testing/controller.php not found
[07:40:25][com.....myapp:web] [error]: File C:/.../buildAgent/work/c649372994269e88/web/target/myapp/WEB-INF/views/components/datatables/media/unit_testing/performance/large.php not found
[07:40:25][com.....myapp:web] [error]: File C:/.../buildAgent/work/c649372994269e88/web/target/myapp/WEB-INF/views/components/datatables/media/unit_testing/templates/-complex_header.php not found
[07:40:25][com.....myapp:web] [error]: File C:/.../buildAgent/work/c649372994269e88/web/target/myapp/WEB-INF/views/components/datatables/media/unit_testing/templates/2512.php not found
[07:40:25][com.....myapp:web] [error]: File C:/.../buildAgent/work/c649372994269e88/web/target/myapp/WEB-INF/views/components/datatables/media/unit_testing/templates/6776.php not found
[07:40:25][com.....myapp:web] [error]: File C:/.../buildAgent/work/c649372994269e88/web/target/myapp/WEB-INF/views/components/datatables/media/unit_testing/templates/complex_header_2.php not found
[07:40:25][com.....myapp:web] [error]: File C:/.../buildAgent/work/c649372994269e88/web/target/myapp/WEB-INF/views/components/datatables/media/unit_testing/templates/deferred_table.php not found
[07:40:25][com.....myapp:web] [error]: File C:/.../buildAgent/work/c649372994269e88/web/target/myapp/WEB-INF/views/components/datatables/media/unit_testing/templates/dom_data.php not found

4

java php maven fortify

Источник

user2894501 18 окт '13 в 11:34

1 ответ

Решение

Другие вопросы по тегам java php maven fortify

user379076 23 окт '13 в 07:56 2013-10-23 07:56 · Accepted Answer · 2013-10-23 07:56

SCA использует кеш сборки. Вы должны очистить это также с

sourceanalyzer -b buildID -clean

команда. Конечно, вы можете сделать это с помощью плагина maven, вызвав плагин sca-maven: чистая цель или подключив плагин sca-maven: чистая цель к фазе maven, "очистив" и назвав чистую цель.

Будьте осторожны, когда запускаете это. Он удалит все существующие файлы, которые были созданы при первом сканировании.