强化真实世界情景问题:
我一直拥有的真正问题不是强化问题的实际修复,而是可靠地抑制任何被认定为误报的发现。我可以在报告中压制它们 - 我对此充满信心,但这仍然无法阻止在后续的代码扫描中识别出相同的问题。而这反过来又需要我花费大量时间来抑制它们,无论我们何时进行扫描。
因此,我可能会在一年中多次将更改部署到相同的代码文件中。因此,每当我需要花费一些重要时间来消除代码上的误报时。
我的流程: -
扫描 - >识别fasle positive - >报告中的抑制 - >部署 - >再次进行更改 - >扫描 - >识别fasle positive - > supress in report - >部署。这个过程重复..
有没有办法克服这些重复的问题,这对我很有帮助。
答案 0 :(得分:1)
我认为您遇到的问题需要合并FPR(强化项目报告)。如果您在一个FPR中执行分析然后执行另一次扫描,则需要进行合并以使之前的分析前进。一些Fortify产品会自动执行此操作。软件安全中心,VS Studio插件和Eclipse插件自动将新FPR与旧FPR合并。您也可以使用Audit Work Bench(在Tools> Merge Audit Projects下)手动合并FPR文件,也可以使用FPR Utility使用命令行。命令是:
FPRUtility -merge -project <primary.fpr> -source <secondary.fpr> -f <output.fpr>