为了缩短处理强化扫描的工作时间,我正在尝试做一些自动蝙蝠。现在我在过滤扫描结果(*.fpr)的问题时遇到了一些麻烦。
我尝试的命令是
sourceanalyzer -b %FileName% -scan -filter filter.txt -format fpr -f "D:\%~2%FileName%.fpr" -logfile "%FileName%3.log"
和 filter.txt 内容:
Insecure SSL: Server Identity Verification Disabled
JSON Injection
在 UI(Fortify Audit Workbench)中导出过滤器(*.xml,我发现“过滤器”的名称是“问题模板”),您可以尝试以下格式以关键优先级顺序过滤 JSON 注入问题:
<Filter>
<actionParam>true</actionParam>
<query>[category]:"JSON Injection" AND [fortify priority order]:"Critical"</query>
<action>hide</action>
</Filter>
但不能在命令行....QQ
我也尝试过 FPRUtility.bat、BIRTReportGenerator.cmd 和 ReportGenerator.bat,但过滤器无法自定义。有人有什么建议吗?