У меня есть куча файлов FPR, но у меня нет доступа к инструментам Fortify Workbench.
FPR - это просто zip-файлы, поэтому я написал быстрый perl скрипт для извлечения аудита .fvdl из почтовых индексов и проанализируйте почтовые индексы для получения информации о том, когда было выполнено сканирование, какие были уязвимости и т. д. c. Единственное, что меня останавливает, это то, что когда я смотрю на сгенерированные PDF-файлы, все найденные уязвимости отмечаются как «Критические», «Высокие», «Средние» или «Низкие». Когда я смотрю на XML для конкретной уязвимости, например
<Vulnerability>
<ClassInfo>
<ClassID>EBD3CC88-4CF9-440F-9831-0298A2027911</ClassID>
<Kingdom>Security Features</Kingdom>
<Type>Password Management</Type>
<Subtype>Password in Comment</Subtype>
<AnalyzerName>structural</AnalyzerName>
<DefaultSeverity>2.0</DefaultSeverity>
</ClassInfo>
<InstanceInfo>
<InstanceID>24429530BA568BA1B0C0DB20A7D52CBC</InstanceID>
<InstanceSeverity>2.0</InstanceSeverity>
<Confidence>5.0</Confidence>
</InstanceInfo>
<ReplacementDefinitions>
...
</ReplacementDefinitions>
<Trace>
...
</Trace>
</Unified>
</AnalysisInfo>
</Vulnerability>
et c - я вижу DefaultSeverity и InstanceSeverity, но, похоже, они не всегда соответствуют тому, что находится в PDF , Это модифицировано где-то еще? Или серьезность из PDF хранится в другом месте?