Fortify的重新掃描發出

Question

Fortify的現實世界場景中的問題：

我一直有真正的問題並不在設防問題的實際補救，而是被可靠地抑制被確定爲假陽性任何發現。我可以在報告中壓制他們 - 我對此充滿信心，但這仍然無法阻止在隨後的代碼掃描中發現相同的問題。反過來，我也需要很多時間來抑制他們每次我們進行掃描。

因此，我可能會在一年中多次將更改部署到相同的代碼文件。所以每次我需要花費大量的時間來消除代碼中的誤報。

我的流量： -

掃描 - >確定FASLE積極 - >剿在報告 - >配置 - >再修改 - >掃描 - >確定FASLE積極 - >剿在報告 - >部署。這個過程重複..

有沒有什麼辦法來克服這些重複的問題，這樣可以幫助我很多。

Answer 1

我認爲你遇到的問題需要合併FPR（Fortify項目報告）。如果您在一個FPR中執行分析，然後再進行一次掃描，則需要進行合併以提前分析。某些Fortify產品會自動執行此操作。軟件安全中心，VS Studio插件和Eclipse插件自動將新FPR與舊FPR合併。您也可以使用審計工作臺（它在「工具」>「合併審計項目」下）手動合併FPR文件，也可以使用FPR實用程序使用命令行。命令將是：

FPRUtility -merge -project <primary.fpr> -source <secondary.fpr> -f <output.fpr>