从 Fortify sourceanalyzer 命令行获取文本输出

Posted 2023-02-19

【中文标题】从 Fortify sourceanalyzer 命令行获取文本输出

【英文标题】：Obtaining text output from Fortify sourceanalyzer command line

【发布时间】：2014-06-30 22:40:44

【问题描述】：

相关问题：Fortify command line usage

我想对我的 .NET 解决方案执行夜间 Fortify 扫描，由 TeamCity 的命令行运行程序触发。我想将我自己的自定义结果摘要发布到网页上。

我想要的关键信息是每个关键级别的问题数量。

我之前使用 -f 命令行开关与 Audit Workbench 客户端一起使用，但生成的 .FPR 文件看起来很难手动解析和解释。

我正在使用Fortify Static Code Analyzer 5.15.0.0060，但似乎没有可用于指定文本的-format 选项。

有没有办法获取扫描发现的问题数量？

【问题讨论】：

您在使用 ReportGenerator 实用程序吗？

还没有（没听说过），但是在阅读了您的消息后，我快速搜索了一下 Google，我刚刚看到 ReportGenerator 可能能够将 FPR 文件转换为自定义格式报告，基于模板。这可能正是我需要的！我会回复结果。谢谢你的指点。

非常感谢，LaJmOn。使用默认模板（不向 ReportGenerator 指定 -template），我可以获得一个不错的 XML 文件，其中包含一个 IssueListing 部分，它为我提供了每个组的计数。这正是我所需要的。如果您将此作为答案发布，我会接受。

我在报告生成器中也遇到了一些问题。也许你可以试试 FPRUtility.bat、BIRTReportGenerator.cmd 和 ReportGenerator.bat。它们都在路径 %Fortify%/bin 中。

【参考方案1】：

使用 ReportGenerator 实用程序。它是专门为此目的而设计的。

【讨论】：

谢谢 - 这个工具有没有可用的文档？ XML 模板似乎不是最直观的更新。默认模板按类别为我提供问题计数（例如“死代码：未使用的方法”），但我也希望使用 Fortify Priority Order（Critical、High、Medium 等）进行此细分。