如何将 Fortify 报告与更新的源代码同步?

How do you synchornize Fortify report with updated source code?

自上次进行 Fortify 扫描以来,我的项目的源文件发生了变化。审核 Workbench 显示使用新源文件导致不匹配的问题。 这种不匹配甚至在我 运行 再次扫描 Fortify 项目后仍然存在。 似乎将报告的问题重新调整为更正源代码的唯一方法是在新的 Fortify 项目中执行扫描。 但这是不可取的,因为我将不得不重新审计所有在原始项目中审计过的问题。

有没有办法让 Fortify 为存储的问题重新分配行号以匹配源文件中所做的更改?

这里发生了两件不同的事情。

1) 当您打开 FPR 时,Audit Workbench 将查看当前硬盘驱动器以查看源代码是否驻留在其中(它知道所扫描代码的绝对文件路径)。如果它找到源代码,它将在 selected 问题时使用它来显示,而不是使用它在 FPR 中的源代码(我假设是因为性能)。

由于扫描后修改了源码,所以需要做的是selectTools -> Extract Source Code...从菜单中将源码解压到临时位置(以后可以删除) ).发生这种情况时,Audit Workbench 将使用该代码在 Audit Workbench.

中显示

2) 您提到再次扫描时必须重新审核问题。当您在菜单中的 Audit Workbench select Tools -> Merge Audit Projects... 中打开新扫描时。然后 select 您审核的 FPR 文件。

这会将两个 FPR 合并在一起,并保留以前对两个 FPR 中存在的问题的评论和审核标记。