强化现实世界场景问题:
我一直遇到的真正问题不是对强化问题的实际补救,而是可靠地抑制任何被确定为误报的发现。我可以在报告中压制它们——我对此很有信心,但这仍然不能阻止在随后的代码扫描中发现相同的问题。反过来,每次我们运行扫描时,我都会花费大量时间来抑制它们。
因此,我可能会在一年中多次部署对相同代码文件的更改。所以每次我都需要花费大量时间来消除代码上的误报。
我的流量:-
扫描 --> 识别 fasle 阳性 --> 在报告中抑制 --> 部署 --> 再次进行更改 --> 扫描 --> 识别 fasle 阳性 --> 在报告中抑制 --> 部署。这个过程重复..
有什么办法可以克服这些重复出现的问题,这样对我有很大帮助。
我认为您遇到的问题需要合并 FPR(强化项目报告)。如果您在一个 FPR 中执行分析,然后进行另一次扫描,则需要进行合并以将先前的分析向前推进。某些 Fortify 产品会自动执行此操作。软件安全中心、VS Studio 插件和 Eclipse 插件会自动将新 FPR 与旧 FPR 合并。您还可以使用 Audit Work Bench(位于 Tools>Merge Audit Projects 下)手动合并 FPR 文件,也可以使用 FPR Utility 使用命令行。命令将是:
FPRUtility -merge -project <primary.fpr> -source <secondary.fpr> -f <output.fpr>