我使用fortify 16.11来分析一个结构如下的项目:
root/
module1/
module2/
...
当我扫描整个项目时,我发现root/module1中存在一些安全问题,但在扫描root/module1时,我无法找到这些问题。
拜托,有人可以向我解释为什么我会为不同的扫描得到不同的结果吗?
谢谢,
答案 0 :(得分:1)
Fortify必须建立一个完整的调用图来确定一个发现,并且我认为它没有发现可以防止任何"误报"如果模块1发现的调用图/堆栈跟踪来自根目录之外的东西,那么只扫描模块1将永远不会找到该发现,因为根目录未被扫描。