Устранить проблемы с повторным сканированием
Сценарий Fortify Real world:
Реальные проблемы, с которыми я постоянно сталкиваюсь, не в том, чтобы исправить проблемы фортификации, а в том, чтобы надежно подавить любые выводы, которые были сочтены ложноположительными. Я могу скрыть их в отчете - я уверен в этом, но это все же не мешает выявить те же проблемы при последующем сканировании кода. А это, в свою очередь, требует значительного времени с моей стороны, чтобы подавить их КАЖДЫЙ раз, когда мы запускаем сканирование.
Поэтому я могу вносить изменения в одни и те же файлы кода несколько раз в течение года. поэтому каждый раз, когда мне нужно потратить некоторое значительное время на удаление ложных срабатываний в коде.
Мой поток: -
сканировать -> определить положительный результат -> подавить в отчете -> развернуть -> снова внести изменения -> сканировать -> определить положительный результат -> подавить в отчете -> развернуть. этот процесс повторяется..
Есть ли способ преодолеть такие повторяющиеся проблемы, которые мне очень помогут.
1 ответ
Я думаю, что проблема, с которой вы столкнулись, требует объединения FPR (Fortify Project Report). Если вы выполняете анализ в одном FPR, а затем делаете другое сканирование, необходимо выполнить слияние, чтобы продвинуть предыдущий анализ. Некоторые из продуктов Fortify делают это автоматически. Software Security Center, VS Studio Plugin и Eclipse Plugin автоматически объединяют новый FPR со старым FPR. Вы также можете вручную объединить файл FPR с помощью Audit Work Bench (в разделе "Инструменты"> "Объединить проекты аудита") или использовать командную строку с помощью утилиты FPR. Команда будет:
FPRUtility -merge -project <primary.fpr> -source <secondary.fpr> -f <output.fpr>