如何區分Fortify SCA掃描
[英]How to diff Fortify SCA scans
問題描述
我們有Fortify SCA,我們正在設置源代碼的定期自動掃描。 我們的目的是在出現安全問題時發出警報。 有沒有辦法,也許使用FPRUtility(或其他方法)來實現這一目標? 最終我更喜歡可以從命令行輕松運行的東西,但是如果這也可以使用GUI完成,那么我將非常感謝知道如何做到這一點。
3 個解決方案
解決方案1
4 已采納 2015-01-28 19:34:27
使用Audit Workbench運行報告。 選擇“開發人員工作簿”並禁用除一個部分以外的所有部分 (您可以選擇任何您想要的部分)。
在報告部分的其他屬性中,將問題的過濾器設置為
[issue age]:new。 這意味着報告將僅顯示FPR中上一次掃描中未出現的問題,並在最新掃描中引入。 保存模板。在掃描配置中,確保每次每個項目都掃描到相同的FPR,以便報告運行程序可以計算“新”問題。
掃描完成后,使用@ user1836982的答案運行報告。 選擇XML模板並以編程方式處理它。
解決方案2
3 2015-01-24 17:48:04
(1)生成Fortify報告到XML格式的命令:FORTIFY_INSTALL_DIR \\ bin \\ ReportGenerator.bat -format xml -f target_file_name.xml -source your_fpr_file_name.fpr -template Detailed-DefaultReportDefinition.xml
(2)您也可以使用AWB通過Report(頂部菜單欄)生成.pdf / .rtf / .xml報告 - >保存報告 - >選擇格式 - >保存
(3)在此處添加創建Excel工作表的過程: 導出HP Fortify SCA 4.10結果為EXCEL格式
(4)如果您可以訪問DB(oracle),則可以使用腳本進行查詢
解決方案3
1 2015-01-09 12:59:53
如果您使用Fortify SCA,您還應該可以訪問Fortify軟件安全中心(SSC)。 SSC可用於跟蹤項目構建的趨勢數據。 SSC內置了基於SSC內用戶定義事件發送警報的功能; 我從未與那些人合作過,所以除了文檔所說的之外,我不能提出任何想法。
Fortify SCA(.fpr文件)生成的報告是zip文件,XML文檔存儲所有相關數據; 我懷疑這些文件中的一些數據與SCA和SSC實例中都存在的SCA規則集有關。 我懷疑沒有規則集你就能確定引入了新的問題,但沒有關於它們是什么,優先級等的任何好的數據。
如何在我的項目中使用 SCA mvn 插件在 Fortify SCA 掃描中僅包含一個文件夾?
[英]how can i include only one folder in Fortify SCA scanning using SCA mvn plugin on my project?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.