自上次进行Fortify扫描以来,我的项目源文件已更改。 Audit Workbench使用导致不匹配的新源文件显示问题。 对Fortify项目再次运行扫描后,此不匹配仍然存在。 看来,将报告问题重新对齐到正确源代码的唯一方法是在新的Fortify项目中执行扫描。 但这是不可取的,因为我将不得不重新审核在原始项目中已审核的所有问题。如何将Fortify报告与更新后的源代码进行同步?
有没有办法让Fortify重新分配存储问题的行号以匹配源文件中所做的更改?
这里有两件不同的事情。
1)当您打开FPR时,Audit Workbench将在当前硬盘上查看源代码是否驻留在其上(它知道被扫描代码的绝对文件路径)。如果它找到源代码,它将使用它来显示何时选择了问题,而不是使用FPR内部的源代码(我认为是因为性能)。
由于您在扫描后修改了源代码,因此您需要从菜单中选择Tools -> Extract Source Code...并将源代码提取到临时位置(稍后可以将其删除)。发生这种情况时,Audit Workbench将使用该代码在Audit Workbench中显示。
2)您提到当您再次扫描时必须重新审核问题。在Audit Workbench中打开新扫描后,从菜单中选择Tools -> Merge Audit Projects...。然后选择您审核的FPR文件。
这会将两个FPR合并在一起,并将以前的评论和审核标签用于两个FPR中存在的问题。
您是否为每次扫描创建.fpr文件?通常情况下,用户将在审核前扫描代码,然后将扫描结果输出到.fpr文件中,以便.fpr文件与扫描的代码版本绑定。在.fpr中,您可以在审核工作台中执行审核并生成报告。 – user1684458
我希望避免这种情况。理想情况下,我会扫描一个,创建.fpr,审核,修复问题,再次扫描相同的项目,理想情况下,应该将两个扫描合并到同一个fpr中,以便我们可以看到应用的修复确实已移除了报告的问题。 .. – adaj21