Как синхронизировать отчет Fortify с обновленным исходным кодом?

Исходные файлы моего проекта изменились с момента последнего сканирования Fortify. Инструментальные средства аудита показывают проблемы с использованием новых исходных файлов, вызывающие несоответствие. Это несоответствие сохраняется даже после повторного запуска сканирования проекта Fortify. Кажется, что единственный способ перенастроить обнаруженные проблемы для исправления исходного кода — выполнить сканирование в новом проекте Fortify. Но это нежелательно, так как мне придется повторно проверять все вопросы, которые были проверены в исходном проекте.

Есть ли способ заставить Fortify переназначить номера строк для сохраненных задач, чтобы они соответствовали изменениям, внесенным в исходные файлы?


fortify line-numbers
person adaj21    schedule 23.08.2017    source источник
comment
Вы создаете файлы .fpr для каждого сканирования? Как правило, перед аудитом пользователь сканирует код, а затем выводит результаты сканирования в файл .fpr, чтобы файл .fpr был связан с просканированной версией кода. Из файла .fpr вы можете выполнять аудит и создавать отчеты в Audit Workbench.   -  person p4r1    schedule 24.08.2017
comment
Я надеюсь избежать этого. В идеале я бы отсканировал один, создал .fpr, проверил, исправил проблемы, снова просканировал тот же проект, и в идеале это должно объединить два сканирования в один и тот же fpr, чтобы мы могли видеть, что примененные исправления действительно устранили обнаруженные проблемы. ..   -  person adaj21    schedule 25.08.2017
comment
Я наткнулся на ваш пост, пытаясь понять, как открыть вкладку исходного кода/панель «Сводка проекта». Мой пост несколько связан (stackoverflow.com/questions/58141881/). Я подумал, вы, возможно, знаете, как принудительно открыть вкладку исходного кода / панель «Сводка проекта». Кроме того, участники этого поста (@p4r1, @adaj21, @SBurris), если бы вы могли предложить какое-либо исправление, это было бы здорово. Большое спасибо!   -  person afrey    schedule 11.03.2020

Ответы (1)


arrow_upward
3
arrow_downward

Здесь происходят две разные вещи.

1) Когда вы открываете FPR, Audit Workbench просматривает текущий жесткий диск, чтобы увидеть, находится ли на нем исходный код (ему известны абсолютные пути к файлам отсканированного кода). Если он найдет исходный код, он будет использовать его для отображения при выборе проблемы вместо использования исходного кода, который находится внутри FPR (я полагаю, из-за производительности).

Поскольку вы изменили исходный код после сканирования, вам нужно выбрать Tools -> Extract Source Code... в меню и извлечь исходный код во временное место (вы можете удалить его позже). Когда это произойдет, Audit Workbench будет использовать этот код для отображения в Audit Workbench.

2) Вы упомянули о необходимости повторной проверки проблем при повторном сканировании. Когда новое сканирование открыто в Audit Workbench, выберите Tools -> Merge Audit Projects... в меню. Затем выберите проверенный файл FPR.

Это объединит два FPR вместе и перенесет предыдущие комментарии и контрольные теги для проблем, которые существуют в обоих FPR.

person SBurris    schedule 24.08.2017