我正在尝试强化静态分析以编写用于创建二进制文件的C++代码。但是,这个构建需要花费数小时 - 有时甚至超过一天 - 才能完成。Fortify SCA基于可执行文件或.o文件构建
为了解决这个问题,我尝试通过创建一个伪归档文件来作为目标来单独构建所有的.o文件。我在这种方法中看到的优点是代码不属于我们的团队,不需要构建,并且链接时间也可以节省。当我这样做时,我们看到构建时间方面的巨大收益。
但是,我的团队中的一个人认为这可能会导致错误的肯定和错误的否定,因为它错过了与我们所有权之外的代码的交互。他给出的一个例子是,在我们所有权之外的API调用之间共享对象。换句话说,我们将无法知道您的域外对象的操作。但是,当所有的文件所有者为他们的代码做同样的事情时,这不会被处理吗?
请告知我的方法是否正确。
您是否在每个构建版本上运行SCA?构建的频率如何?通常每周一次是您应该使用SCA进行扫描的最常见次数。 – LaJmOn 2013-04-02 17:43:51
Hi LaJmOn,因为我们每两周都有一次冲刺,每周跑步可能为时已晚。所以,我们更喜欢更短的周期。更重要的是,我们不希望被Fortify的速度所限制。 – 2013-04-03 04:51:05