如何提取仅提供缺陷计数的非常简单的 sourceanalyzer/fortify 报告?

How can I extract a very simple sourceanalyzer / fortify report that only gives defect counts?

我需要能够轻松跟踪构建之间的缺陷计数变化。我的想法是通过报告提取关键、高、中和低严重性缺陷的计数。我能找到的所有报告模板都很复杂,而且我没有看到通过 AWB 生成自定义模板的方法。

或者,如果有一种方法可以确定是否存在新问题以及它们的严重程度,那也很好。

这样做的目的是 运行 我们构建服务器上的每周作业,如果发现任何新问题 and/or 如果每个严重性的问题计数都超过阈值,则触发电子邮件.

标准的 Fortify 安装包括一个 FPRUtility.bat,可用于查询 .fpr 文件以获取所需信息。获取严重、高、中和低问题的数量涉及为每个计数编写自定义查询:

FPRUtility.bat -project [Your .fpr file] -information -search -query "[fortify priority order]:critical"
FPRUtility.bat -project [Your .fpr file] -information -search -query "[fortify priority order]:high"
FPRUtility.bat -project [Your .fpr file] -information -search -query "[fortify priority order]:medium"
FPRUtility.bat -project [Your .fpr file] -information -search -query "[fortify priority order]:low"

这些可能会组合成一个命令,但如果不存在给定严重性的问题,这将吐出 "No issues matched search query" 或“# issues of # matched search query”。