Pre:
Goal:使用fortify扫描完后,需要导出并解析它的结果。
工具ReportGenerator:
ReportGenerator.bat
使用该工具可以设置模板、导出指定格式的报告.
任务参数:
解析有3种格式:
-
pdf
-
rtf
-
xml
此处,我选了xml的格式。
xml解析:
整体分成3部分:
-
Report Overview 报告总览
- Report Summary 报告摘要
- Issue Summary by Fortify Priority Order 问题摘要(根据优先级排序)
-
Issue Summary 问题摘要
- Overall number of results 结果总数
- Issues By Category 类别问题
-
Results Outline 结果概要
- Vulnerability Examples by Category 按类别列出的漏洞示例
第一部分-Report Overview报告总览:
Report Summary 报告摘要
对应于
Issue Summary by Fortify Priority Order 问题摘要(根据优先级排序)
每个级别的统计数据
filter set选择Security Auditor View后,对应于Audit Workbench这里的数据
第二部分-Issue Summary问题摘要:
Overall number of results结果总数:
问题总数
对应于
Issues By Category类别问题:
问题分类统计
对应于
第三部分:Results Outline 结果概要
Vulnerability Examples by Category 按类别列出的漏洞示例
对应于:
其他:
默认的模板对列出的风险有个数的限制,我们要自定义模板,才可以导出所有的风险。
做法可参考how-do-i-generate-a-report-that-has-all-the-issues
refs:
-
HPE_SCA_Guide_17.20.pdf