问如何区分Fortify SCA扫描

EN

1. 使用审核工作台运行报告。选择“开发人员工作簿”并禁用除一个部分以外的所有内容。(您可以选择任何您想要的部分)。
2. 在report部分的附加属性中，将问题的筛选器设置为[issue age]:new。这意味着报告将只显示在您的FPR中的问题，这些问题在上一次扫描中没有出现，并且在最近的扫描中被引入。保存模板。
3. 在扫描配置中，确保每个项目每次都扫描到相同的FPR，以便报表运行程序可以计算“新”问题。
4. 扫描完成后，使用@ use 1836982的回答来运行报告。选择XML模板并以编程方式处理它。

(1)将Fortify报表生成为XML格式的命令: FORTIFY_INSTALL_DIR\bin\ReportGenerator.bat -format xml -f target_file_name.xml -source your_fpr_file_name.fpr -template Detailed DefaultReportDefinition.xml

(2)还可以使用AWB生成..pdf/..rtf/..xml报表(顶部菜单栏) ->保存报表->选择格式->save

(3)在这里添加了创建excel表的过程：Export HP Fortify SCA 4.10 results in EXCEL format

(4)如果您可以访问DB (oracle)，则可以使用脚本进行查询。

如果您正在使用Fortify SCA，您还应该可以访问Fortify软件安全中心(SSC)。SSC可用于跟踪跨项目生成的趋势数据。SSC内置了根据SSC内部用户定义的事件发送警报的功能；我从未与这些事件一起工作过，因此除了文档所说的之外，无法提供任何其他想法。

Fortify SCA (.fpr文件)生成的报告是存储所有相关数据的zip文件XML文档；我怀疑这些文件中的某些数据与SCA和SSC实例中的SCA规则集相关。我怀疑如果没有规则集，您将能够确定已经引入了新的问题，但是没有任何关于它们是什么、优先级级别等的好数据。