我试图在Fortify SCA 17.10的新版本中理解为什么扫描默认排除第三方库?我发现这个article并且它似乎是您使用的任何开源库,通过轮询请求修复这些问题符合您的最佳利益。我注意到我从Fortify扫描中得到的一些结果通常是误报,这就是为什么现在Fortify排除了第三方库?这是否有正当理由?
答案 0 :(得分:1)
我想这是因为你,因为代码的所有者无法真正解决第三方库中的问题。你唯一能做的就是压制这个问题。在由同一公司的另一个团队维护的依赖关系的情况下,这甚至可以是真实的。 因此,我尝试将此作为一个机会,通过使用这些设置使审核过程更简单。