Fortifyとサードパーティ製のライブラリ

Question

新しいバージョンのFortify SCA 17.10では、サードパーティのライブラリを除外するようにデフォルト設定されているのはなぜですか？私はこのarticleを見つけました。あなたが使用しているオープンソースライブラリのようです。これらの問題をポーリングリクエストで解決することが、あなたの最大の関心事です。私がFortifyスキャンから得た知見の一部が、通常誤検出であることに気付きました。なぜFortifyはサードパーティのライブラリを除外しているのですか？正当な理由はありますか？

Answer 1

私は、コードの所有者が実際にサードパーティのライブラリで問題を修正できないため、あなたのためだと思います。あなたができる唯一のことは、問題を抑制することです。これは、同じ会社の別のチームによって維持されている依存関係の場合にも当てはまります。 これを管理して、これらの設定を使用して監査プロセスを簡単にする機会としています。