Fortify Rescan geben

Question

Fortify reale Szenario Ausgabe:

Die wirklichen Fragen, die ich mit konsequent ist nicht in tatsächlichen Sanierung von Fortify Fragen, sondern in zuverlässig unterdrückt wird jede Feststellung, dass entschlossen sind, falsch-positive Ergebnisse zu sein. Ich kann sie im Bericht unterdrücken - dass ich davon überzeugt bin, aber das verhindert immer noch nicht, dass dieselben Probleme in einem nachfolgenden Scan des Codes identifiziert werden. Und das wiederum kostet mich viel Zeit, um sie JEDESmal zu unterdrücken, wenn wir einen Scan durchführen.

So kann ich mehrmals im Laufe des Jahres Änderungen an den gleichen Code-Dateien bereitstellen. also jedes Mal, wenn ich etwas Zeit für die Beseitigung von falsch positiven Code verbringen muss.

Mein Flow: -

Scan -> identifizieren Fasle positiv -> supress in Bericht -> einsetzen -> wieder Änderungen vornehmen -> Scan -> identifizieren Fasle positiv -> supress in Bericht -> bereitstellen. dieser Prozess wiederholt sich ..

Gibt es eine Möglichkeit, diese Art von wiederholten Problemen zu überwinden, so dass mir eine Menge helfen wird.

Answer 1

Das Problem, das ich denke, dass Sie erleben, erfordert das Zusammenführen der FPR (Fortify Project Report). Wenn Sie die Analyse in einem FPR durchführen und dann einen anderen Scan durchführen, muss eine Zusammenführung durchgeführt werden, um die vorherige Analyse weiterzuleiten. Einige der Fortify-Produkte tun dies automatisch. Das Software Security Center, das VS Studio Plugin und das Eclipse Plugin verbinden das neue FPR automatisch mit dem alten FPR. Sie können die FPR-Datei auch manuell mithilfe von Audit Work Bench (unter Tools> Audit-Projekte zusammenführen) zusammenführen oder die Befehlszeile mit dem FPR-Dienstprogramm verwenden. Der Befehl wäre:

FPRUtility -merge -project <primary.fpr> -source <secondary.fpr> -f <output.fpr>