我们有Fortify SCA,我们正在设置源代码的定期自动扫描。我们的目的是在出现安全问题时发出警报。有没有办法,也许使用FPRUtility(或其他方法)来实现这一目标?最终我更喜欢可以从命令行轻松运行的东西,但是如果这也可以使用GUI完成,那么我将非常感谢知道如何做到这一点。
答案 0 :(得分:4)
使用Audit Workbench运行报告。选择“开发人员工作簿”并禁用除一个部分以外的所有部分(您可以选择任何您想要的部分。)
在报告部分的其他属性中,将问题的过滤器设置为[issue age]:new。这意味着报告将仅显示FPR中上一次扫描中未出现的问题,并在最新扫描中引入。保存模板。
在扫描配置中,确保每次每个项目都扫描到相同的FPR,以便报告运行者可以计算“新”问题。
扫描完成后,使用@ user1836982的答案运行报告。选择XML模板并以编程方式处理它。
答案 1 :(得分:3)
(1)生成Fortify报告到XML格式的命令: FORTIFY_INSTALL_DIR \ bin \ ReportGenerator.bat -format xml -f target_file_name.xml -source your_fpr_file_name.fpr -template Detailed-DefaultReportDefinition.xml
(2)您还可以使用AWB按报告(顶部菜单栏)生成.pdf / .rtf / .xml报告 - >保存报告 - >选择格式 - >保存
(3)刚刚添加了创建Excel工作表的程序:Export HP Fortify SCA 4.10 results in EXCEL format
(4)如果您有权访问DB(oracle),则可以使用脚本
进行查询答案 2 :(得分:1)
如果您使用的是Fortify SCA,您还应该可以访问Fortify软件安全中心(SSC)。 SSC可用于跟踪项目构建的趋势数据。 SSC内置了基于SSC内用户定义事件发送警报的功能;我从来没有和那些人合作过,所以除了文档说的话之外,我不能提出任何想法。
Fortify SCA生成的报告(.fpr文件)是zip文件存储所有相关数据的XML文档;我怀疑这些文件中的一些数据与SCA和SSC实例中都存在的SCA规则集有关。我怀疑如果没有规则集,你就可以确定引入了新的问题,但没有关于它们是什么,优先级等的任何好的数据。