Настройка / Справочная информация:
Я работаю на продукт, который содержит преимущественно 500k + LOC (Java и Javascript).Мы проводили статический анализ Fortify в течение последнего десятилетия, начиная с Fortify 3.x / 4.x.Мы используем SSC для просмотра и аудита результатов анализа.Таким образом, результаты также становятся доступными для других в команде, которые могут быть заинтересованы в дополнение к руководствам по безопасности.
Периодически, наряду с выпуском кода, также обновляется версия Fortify, а метрики переносятся в более новую версию.Платформа Fortify и обновления управляются отдельной командой.Мы просто запускаем сканирование, загружаем fpr.Результаты автоматически объединяются в SSC.Впоследствии мы проверяем вновь обнаруженные нарушения и соответствующим образом повторно принимаем меры по их устранению.Обычно для каждого выпуска есть сотни ложных срабатываний, которые проверяются как «Не проблема» .
Вопрос:
Мыпереход на новую платформу - будет новая установка Fortify SSC, управляемая другой командой.Если мы выполним анализ и загрузим fpr в новый экземпляр SSC, он может сообщить о более чем 1 миллионе нарушений.В действительности, эти нарушения уже были проверены как «Не проблема» в нашей существующей инстанции.Нам нужен способ "затравить" более новый экземпляр с проверенными результатами из более старого экземпляра.
Итак, нам понадобится какой-нибудь способ экспортировать результатов из существующего экземпляра Fortify SSC и импортировать то же самое в более новом экземпляре Fortify SSC.
Из существующего экземпляра я знаю, что могу «Скачать файл приложения» fpr из «Артефакты приложения» , который содержит все проверенные результаты.Я хотел бы знать, будут ли данные аудита проверяться при импорте с использованием 'Upload Artifact' в более новом экземпляре SSC?Таким образом, после следующего сканирования мы можем просто продолжать загружать файлы fpr и сообщать только о нарушениях дельты.
Существующий Fortify SSC работает на версии 17.20 .Более новый экземпляр Fortify платформы, скорее всего, будет версии 18.10 или 17.20 , но, надеюсь, не ниже этого.