HPE Audit WorkBench项目比较

时间:2017-08-28 08:58:35

标签: security fortify scanning

我正在使用"合并审计项目" HPE Audit Workbench中的选项,一旦项目合并,只显示新问题。我是否有可能看到两个版本的项目和新问题的问题?

2 个答案:

答案 0 :(得分:0)

请记住,合并审核项目旨在合并来自相同代码库(通常来自不同版本)的扫描项目。

如果这是您正在做的事情,您可能需要查看您的观看设置,以确保您不仅仅看到新的"的问题。

答案 1 :(得分:0)

在Audit Workbench中查看已删除的问题,您可以执行Tools -> How Removed Issues

了解Audit Workbench如何将项目合并在一起非常重要,它不是"追加"操作类型。它将两个FPR(Fortify项目报告)文件视为对相同代码库的扫描,这些代码库来自代码更改后的扫描或由两个不同的审计员/开发人员审核的相同FPR,并且您希望创建包含以下内容的单个FPR文件审计这两个人。

例如:

  • FPR A.
    • 问题A
    • 问题B
  • FPR B.
    • 问题B
    • Issuc C

在此示例中,有2个FPR。在A中有两个问题,A和B.代码已更改,并且运行了新扫描(B)。在新扫描中显示问题B和C. B从第一次扫描中存在,C是从代码更改引入的新问题,并且A已经被修复。

当这两个FPR合并在一起时,有两个活动问题B,C被认为已被删除,因为它不在最新的FPR(C)中。

  • FPR C
    • 问题A(已删除)
    • 问题B(现有)
    • 问题C(新)

如果您将来自不同代码库的两次扫描合并在一起,则第一次扫描中的问题不会出现在第二次扫描中,因此Fortify会假定它们已经过修复。

将项目合并在一起的原因之一是将先前扫描中的分析/注释移动到当前扫描中。

另一个是,如果有两个人在审核同一个FPR文件的副本,那么他们希望将这两个分析合并到一个文件中。