Fortify的重新扫描发出

Question

Fortify的现实世界场景中的问题：

我一直有真正的问题并不在设防问题的实际补救，而是被可靠地抑制被确定为假阳性任何发现。我可以在报告中压制他们 - 我对此充满信心，但这仍然无法阻止在随后的代码扫描中发现相同的问题。反过来，我也需要很多时间来抑制他们每次我们进行扫描。

因此，我可能会在一年中多次将更改部署到相同的代码文件。所以每次我需要花费大量的时间来消除代码中的误报。

我的流量： -

扫描 - >确定FASLE积极 - >剿在报告 - >配置 - >再修改 - >扫描 - >确定FASLE积极 - >剿在报告 - >部署。这个过程重复..

有没有什么办法来克服这些重复的问题，这样可以帮助我很多。

Answer 1

我认为你遇到的问题需要合并FPR（Fortify项目报告）。如果您在一个FPR中执行分析，然后再进行一次扫描，则需要进行合并以提前分析。某些Fortify产品会自动执行此操作。软件安全中心，VS Studio插件和Eclipse插件自动将新FPR与旧FPR合并。您也可以使用审计工作台（它在“工具”>“合并审计项目”下）手动合并FPR文件，也可以使用FPR实用程序使用命令行。命令将是：

FPRUtility -merge -project <primary.fpr> -source <secondary.fpr> -f <output.fpr>