我正在尝试组合来自多个不同应用程序扫描的 fpr。我试过了
FPRUtility -merge -project foo.fpr -source bar.fpr -f foobar.fpr
但这似乎并不奏效。当我生成 foobar.fpr 的报告时,我只看到其中一个扫描的结果。
有什么想法吗?
【问题讨论】:
标签: static-analysis fortify sourceanalyser
根据 Micro Focus 的 Fortify Audit Workbench 用户指南和静态代码分析器用户指南,只有在您的项目包含相同的分析信息时才能合并。这意味着必须在相同的源代码、相同的强化设置和相同的安全内容上执行扫描。
更新
虽然上述关于 fprs 的说法是正确的,但可以合并扫描结果。您不能合并来自不同源代码的 fpr。但是,您可以合并扫描结果并在此基础上生成 fpr。
在您的/path/to/.fortify/path/to/build/ 中,您会找到一个以您的
你可以跑
sourceanalyzer -b <build_id_1> -b <build_id_2> -b <build_id_3> -scan -f combined.fpr
这将生成一个 fpr,其中包含来自不同构建/应用程序的扫描结果。
【讨论】: