HPE审核WorkBench项目比较

Question

我正在使用HPE audit Workbench中的“合并审计项目”选项，一旦项目合并，只会显示新的问题。有没有可能我可以看到项目的两个版本和新问题的问题？

Answer 1

请记住，合并审计项目的目的是合并来自相同代码库(通常来自不同构建)的扫描的项目。

如果这就是你正在做的，你可能需要查看你的视图设置，以确保你看到的不仅仅是“新”的问题。

Answer 2

在Audit Workbench中，要查看已删除的问题，可以执行Tools -> How Removed Issues

理解Audit Workbench如何将项目合并在一起非常重要，它不是一种“追加”类型的操作。它将两个FPR (Fortify Project Report)文件视为相同代码库的扫描，或者是来自代码更改后的扫描，或者是由两个不同的审计员/开发人员审计的相同FPR，并且您希望创建包含这两个人的审计的单个FPR文件。

例如：

• FPR A
  • Issue A
  • Issue B

​

• FPR B
  • Issuc B
  • Issuc C

(

• FPR B
  • 问题B
  • 问题)

​

在此示例中，有2个FPR。在A中有两个问题，A和B。代码已更改并运行了新的扫描(B)。在新的扫描中显示了问题B和C。第一次扫描中存在B，C是从代码更改中引入的新问题，A已经修复。

当这两个FPR合并在一起时，有两个活动问题B，C。A被认为是删除的，因为它不在最新的FPR (C)中。

问题A (Removed)

• Issue B (Existing)

• Issue C (New)

• FPR C

​

如果将来自不同代码库的两个扫描合并在一起，则第一次扫描的问题不会出现在第二次扫描中，因此Fortify假设它们已经得到修复。

将项目合并在一起的原因之一是将分析/注释从上一次扫描移动到当前扫描中。

另一种是，如果两个人在审计同一个FPR文件的副本，那么他们希望将两个分析合并到一个文件中。