Импорт / экспорт результатов аудита HP Fortify

Question

Настройка / Справочная информация:

Я работаю на продукт, который содержит преимущественно 500k + LOC (Java и Javascript).Мы проводили статический анализ Fortify в течение последнего десятилетия, начиная с Fortify 3.x / 4.x.Мы используем SSC для просмотра и аудита результатов анализа.Таким образом, результаты также становятся доступными для других в команде, которые могут быть заинтересованы в дополнение к руководствам по безопасности.

Периодически, наряду с выпуском кода, также обновляется версия Fortify, а метрики переносятся в более новую версию.Платформа Fortify и обновления управляются отдельной командой.Мы просто запускаем сканирование, загружаем fpr.Результаты автоматически объединяются в SSC.Впоследствии мы проверяем вновь обнаруженные нарушения и соответствующим образом повторно принимаем меры по их устранению.Обычно для каждого выпуска есть сотни ложных срабатываний, которые проверяются как «Не проблема» .

Вопрос:

Мыпереход на новую платформу - будет новая установка Fortify SSC, управляемая другой командой.Если мы выполним анализ и загрузим fpr в новый экземпляр SSC, он может сообщить о более чем 1 миллионе нарушений.В действительности, эти нарушения уже были проверены как «Не проблема» в нашей существующей инстанции.Нам нужен способ "затравить" более новый экземпляр с проверенными результатами из более старого экземпляра.

Итак, нам понадобится какой-нибудь способ экспортировать результатов из существующего экземпляра Fortify SSC и импортировать то же самое в более новом экземпляре Fortify SSC.

Из существующего экземпляра я знаю, что могу «Скачать файл приложения» fpr из «Артефакты приложения» , который содержит все проверенные результаты.Я хотел бы знать, будут ли данные аудита проверяться при импорте с использованием 'Upload Artifact' в более новом экземпляре SSC?Таким образом, после следующего сканирования мы можем просто продолжать загружать файлы fpr и сообщать только о нарушениях дельты.

Существующий Fortify SSC работает на версии 17.20 .Более новый экземпляр Fortify платформы, скорее всего, будет версии 18.10 или 17.20 , но, надеюсь, не ниже этого.

Answer 1

TL; DR:

Работает.

Длинный ответ:

1. У меня «Загруженный файл приложения» из существующего экземпляра Fortify SSC 17.20.Обычно это будет в формате - .fpr
2. Я установил другой экземпляр Fortify SSC 17.20.
3. Позже я создал фиктивное приложение и версию для проекта.
4. Я импортировал ранее загруженный fpr из шага 1, используя «Загрузить артефакт» .Теперь новому экземпляру SSC потребовалось 3 дня для полного импорта и предоставления аудита / метрик и т. Д.
5. Убедитесь, что аудит / метрики совпадают с исходным экземпляром SSC
6. Впоследствии было выполнено новое сканированиеи загрузил новый фпр.

Укрепление SSC успешно слито и артефакты.При последующих загрузках существующие аудиты переносятся, и информация не теряется.

Answer 2

Это должно сработать, попробуйте. Если это не сработает, я думаю, вы можете напрямую экспортировать базу данных из старого экземпляра и импортировать ее в новую базу данных. Если две версии SSC находятся далеко друг от друга, схема базы данных, возможно, сильно изменилась, и передача данных может быть сложной. Если у вас есть проблемы, я бы напрямую обратился в службу поддержки Fortify. Они обычно отзывчивы.