设置/背景:
我工作的产品主要包含500k + LOC(Java和Javascript)。自Fortify 3.x / 4.x开始,我们在过去十年中一直在运行Fortify静态分析。我们使用SSC来查看和审核分析结果。这样,结果也可以提供给团队中除了安全线索之外可能还有兴趣的其他人。
定期,随着代码发行,Fortify版本也进行升级,并且度量标准迁移到新版本。 Fortify平台和升级由单独的团队管理。我们只是运行扫描,上传fpr。结果将自动合并到SSC中。随后,我们审核新发现的违规行为,并对其进行适当的补救。通常,对于每个发行版,都有成百上千的假阳性被审核为“不是问题” 。
问题:
我们正在转移到一个新平台-将有一个完全由另一个团队管理的Fortify SSC全新安装。如果我们执行分析并将fpr上传到新的SSC实例,则它可能报告超过一百万的违规。实际上,在我们现有的实例中,这些违规行为已经被审核为“不是问题” 。我们需要一种通过旧实例的审核结果来“种子” 的方法。
因此,我们需要某种方法来导出 Fortify SSC的现有实例的结果,并 import 与Fortify SSC的新实例相同。< / strong>
从现有实例中,我知道我可以“应用程序工件” 中的“下载应用程序文件” fpr,其中包含所有已审核的结果。我想知道在SSC的较新实例中,是否通过使用'Upload Artifact'进行导入,将播种审计数据?这样,从下一次扫描开始,我们就可以继续上传fpr文件,并且只会报告违反增量的情况。
现有的Fortify SSC位于版本17.20 。较新的平台Fortify实例很可能是版本18.10或17.20 ,但希望不低于该版本。
答案 0 :(得分:1)
它应该工作,尝试一下。如果这不起作用,我认为您可以直接从旧实例中导出数据库,并将其导入到新数据库中。如果两个SSC版本相距甚远,则数据库架构可能已发生很大变化,并且数据传输可能会很困难。如果您有问题,我将直接联系Fortify支持以寻求帮助。他们通常会做出回应。
答案 1 :(得分:0)
TL; DR:
有效。
详细答案:
Fortify SSC成功地合并了工件。在随后的上载中,将继续执行现有的审核,并且不会丢失任何信息。