我的任务是将excel文件中的注释添加到相应的Fortify(静态代码分析工具)FPR文件中。我们使用Excel文件来判断每个缺陷,然后添加分析级别和任何注释。对于此扫描,我需要实际使用Fortify的评论功能。有超过7000个缺陷,因此,正如您可以想象的那样,手动执行此操作将非常繁琐且耗时。我正在寻找一种自动化方法......如果可能的话。
我开始打开FPR(美化的zip文件),并探索如何保存数据。我不能说我知道,但我确实发现使用audit.xml文件似乎保存或导入了评论。我手动添加了一个带有格式(XML标签)的注释,我的测试评论似乎被记录下来了。这是成功的。我手动添加到xml文件中的测试注释确实显示在Fortify Audit Workbench中,引用了正确的缺陷。
因此,使用VBA创建了一个XML生成程序,用于解析每个缺陷的信息,并在audit.xml中为每个缺陷创建一个新条目。这种方法并不成功。我的新评论都没有出现在Fortify中。所以我回到原点。
有谁知道完成我的任务的方法?
好吧,我认为您的方案的首选方法是使用软件安全中心(SSC),它包含在Fortify安装中。您还可以将问题从SSC导出到首选的错误跟踪器,作为附加步骤。也许这有帮助。