加强和第三方库

Question

我试图理解在新版本的Fortify SCA 17.10中，为什么扫描默认为排除第三方库？我找到了这个article，似乎你使用的任何开源库，通过轮询请求来修复这些问题对你来说都是最好的。我注意到我从Fortify扫描中得到的一些发现通常是假阳性，这就是为什么现在Fortify将第三方库排除在外？这样做有合理的理由吗？

Answer 1

我猜这是因为作为代码所有者的您无法真正修复第三方库中的问题。你唯一能做的就是抑制这个问题。在依赖关系由同一公司的另一个团队维护的情况下也是如此。因此，我尝试将其作为一个机会来管理，通过使用这些设置来简化审计过程。