最後のFortifyスキャンが行われて以来、プロジェクトのソースファイルが変更されています。 Audit Workbenchは、新しいソースファイルを使用して不一致を引き起こす問題を示します。 この不一致は、Fortifyプロジェクトのスキャンをやり直しても持続します。 報告された問題を正しいソースコードに再調整する唯一の方法は、新しいFortifyプロジェクトでスキャンを実行することです。 しかし、元のプロジェクトで監査されたすべての問題を再監査する必要があるので、これは望ましくありません。Fortifyレポートと更新されたソースコードをどのように同期させますか?
ソースファイルの変更と一致するように、保存された問題の行番号をFortifyに再割り当てさせる方法はありますか?
ここでは2つの異なることが起こっています。
1)FPRを開くと、Audit Workbenchは現在のハードドライブを調べ、ソースコードが存在するかどうかを調べます(スキャンされたコードの絶対パスを知っています)。ソースコードが見つかった場合は、FPRの内部にあるソースコードを使用する代わりに、問題が選択された時点を表示するためにソースコードを使用します(これはパフォーマンスのためです)。
スキャン後にソースコードを変更したので、メニューからTools -> Extract Source Code...を選択し、ソースコードを一時的な場所に抽出します(後で削除することができます)。この場合、Audit WorkbenchはそのコードをAudit Workbenchに表示するために使用します。
2)再度スキャンするときに問題を再監査する必要があると述べました。 Audit Workbenchで新しいスキャンを開いたら、メニューからTools -> Merge Audit Projects...を選択します。次に、監査対象のFPRファイルを選択します。
これにより、2つのFPRをまとめて結合し、両方のFPRに存在する問題について以前のコメントと監査タグを持ち越します。
スキャンごとに.fprファイルを作成していますか?通常、ユーザーはコードをスキャンし、監査前にスキャン結果を.fprファイルに出力し、.fprファイルがスキャンされたコードのバージョンに関連付けられるようにします。 .fprから、Audit Workbenchで監査を実行し、レポートを生成できます。 – user1684458
私はこれを避けることを望んでいます。理想的には、スキャンして.fprを作成し、問題を修正し、同じプロジェクトで再度スキャンし、2つのスキャンを同じfprにマージする必要があります。 .. – adaj21