如何组合Fortify FPR？

Question

我正在尝试组合来自多个不同应用程序扫描的fprs。我试过了

FPRUtility -merge -project foo.fpr -source bar.fpr -f foobar.fpr                   

但这似乎并没有起到作用。当我生成foobar.fpr的报告时，我只看到其中一次扫描的结果。

有什么想法吗？

Answer 1

根据Micro Focus的Fortify Audit Workbench用户指南和静态代码分析器用户指南，只有当您的项目包含相同的分析信息时才能合并。这意味着必须在相同的源代码、相同的加强设置和相同的安全内容上执行扫描。

更新

虽然以上关于fprs的情况是正确的，但是可以合并扫描结果。不能合并来自不同源代码的fprs。但是，您可以合并扫描结果并基于此生成fpr。

在你的/path/to/.fortify/path/to/build/中，你会发现一个以你的命名的目录，这个目录包含了一些中间文件，增强了生成它的fpr的能力。

你可以运行

sourceanalyzer -b <build_id_1> -b <build_id_2> -b <build_id_3> -scan -f combined.fpr

这将生成一个包含来自不同构建/应用程序的扫描结果的fpr。