自上次進行Fortify掃描以來,我的項目源文件已更改。 Audit Workbench使用導致不匹配的新源文件顯示問題。 對Fortify項目再次運行掃描後,此不匹配仍然存在。 看來,將報告問題重新對齊到正確源代碼的唯一方法是在新的Fortify項目中執行掃描。 但這是不可取的,因爲我將不得不重新審覈在原始項目中已審覈的所有問題。如何將Fortify報告與更新後的源代碼進行同步?
有沒有辦法讓Fortify重新分配存儲問題的行號以匹配源文件中所做的更改?
這裏有兩件不同的事情。
1)當您打開FPR時,Audit Workbench將在當前硬盤上查看源代碼是否駐留在其上(它知道被掃描代碼的絕對文件路徑)。如果它找到源代碼,它將使用它來顯示何時選擇了問題,而不是使用FPR內部的源代碼(我認爲是因爲性能)。
由於您在掃描後修改了源代碼,因此您需要從菜單中選擇Tools -> Extract Source Code...並將源代碼提取到臨時位置(稍後可以將其刪除)。發生這種情況時,Audit Workbench將使用該代碼在Audit Workbench中顯示。
2)您提到當您再次掃描時必須重新審覈問題。在Audit Workbench中打開新掃描後,從菜單中選擇Tools -> Merge Audit Projects...。然後選擇您審覈的FPR文件。
這會將兩個FPR合併在一起,並將以前的評論和審覈標籤用於兩個FPR中存在的問題。
您是否爲每次掃描創建.fpr文件?通常情況下,用戶將在審覈前掃描代碼,然後將掃描結果輸出到.fpr文件中,以便.fpr文件與掃描的代碼版本綁定。在.fpr中,您可以在審覈工作臺中執行審覈並生成報告。 – user1684458
我希望避免這種情況。理想情況下,我會掃描一個,創建.fpr,審覈,修復問題,再次掃描相同的項目,理想情況下,應該將兩個掃描合併到同一個fpr中,以便我們可以看到應用的修復確實已移除了報告的問題。 .. – adaj21