Fortify 和第三方库

Fortify and third-party libraries

我正在尝试了解新版本的 Fortify SCA 17.10, why the scan defaults to excluding third-party libraries? I found this article 并且您使用的任何开源库似乎都符合您的最佳利益,通过轮询请求解决这些问题。我注意到我从 Fortify 扫描中得到的一些结果通常是误报,这就是现在 Fortify 排除第三方库的原因吗?这有正当理由吗?

我想这是因为您作为代码的所有者无法真正解决第三方库中的问题。你唯一能做的就是压制这个问题。在由同一公司的另一个团队维护的依赖项的情况下,这甚至可能是正确的。 因此,我尝试将此作为一个机会来管理,通过使用这些设置来简化审核过程。