在 Reports 中为被抑制的问题生成评论
Generate comments in Reports for suppressed issues
我有一个 java 项目正在使用 Fortify 进行评估。有些问题需要被抑制,如果是这样,则需要发表评论来说明为什么要抑制该问题。
如何在生成的申请报告中看到这条评论?我正在使用网络界面,而不是 workbench.
被压制的问题出现了,我只想能看到评论。
提前致谢。
编辑:
如果需要,我可以在 workbench 工作。
经过一段时间的搜索,我找到了解决办法。
首先,我应该提到我们的 Fortify 扫描是由 Jenkins 构建启动的。在 Web 界面或 SSC 中,我必须导航到 artifacts tap。从那里,我按下 "Download Application File With Sources" 按钮,这给了我一个更新的 FPR,其中包含所有抑制和评论。
之后我不得不使用审计 WorkBench 打开那个 .fpr 文件。然后我选择不覆盖默认过滤器(不确定是否会为每个人弹出)并单击 "Reports" 选项卡。
然后我从下拉列表中选择了 "Developer Workbook" 模板,然后单击问题过滤器设置。我勾选了 "Suppressed" 并取消了 Collapse Issues(只应勾选 Suppressed)。
接下来,我通过选择过滤器右侧的高级并选择 "fortify priority order"、"does not contain"、"low" 或 "medium",添加了仅针对高分和关键分的过滤器。有一个“||”在右上角,您可以单击以添加一个过滤器。
然后我选择了生成并且成功了!对隐藏问题的评论将显示在每个问题报告中的 "Audit Comments" 下方。希望这对以后的其他人有帮助。
我有一个 java 项目正在使用 Fortify 进行评估。有些问题需要被抑制,如果是这样,则需要发表评论来说明为什么要抑制该问题。
如何在生成的申请报告中看到这条评论?我正在使用网络界面,而不是 workbench.
被压制的问题出现了,我只想能看到评论。
提前致谢。
编辑:
如果需要,我可以在 workbench 工作。
经过一段时间的搜索,我找到了解决办法。
首先,我应该提到我们的 Fortify 扫描是由 Jenkins 构建启动的。在 Web 界面或 SSC 中,我必须导航到 artifacts tap。从那里,我按下 "Download Application File With Sources" 按钮,这给了我一个更新的 FPR,其中包含所有抑制和评论。
之后我不得不使用审计 WorkBench 打开那个 .fpr 文件。然后我选择不覆盖默认过滤器(不确定是否会为每个人弹出)并单击 "Reports" 选项卡。
然后我从下拉列表中选择了 "Developer Workbook" 模板,然后单击问题过滤器设置。我勾选了 "Suppressed" 并取消了 Collapse Issues(只应勾选 Suppressed)。
接下来,我通过选择过滤器右侧的高级并选择 "fortify priority order"、"does not contain"、"low" 或 "medium",添加了仅针对高分和关键分的过滤器。有一个“||”在右上角,您可以单击以添加一个过滤器。
然后我选择了生成并且成功了!对隐藏问题的评论将显示在每个问题报告中的 "Audit Comments" 下方。希望这对以后的其他人有帮助。