При получении кода источника, проанализированного с помощью анализатора исходного кода, если я хочу пропустить выбранную категорию, скажите «Плохая обработка ошибок: Empty Catch Block» - есть ли способ сделать это? В случае генератора отчетов checkstyle существует способ пропускать выбранную ошибку. Я бы хотел иметь такую гибкость в случае усиления анализатора исходного кода.Как пропустить выбранную ошибку, указанную при помощи анализатора исходного кода?
Во-первых, откройте результаты, содержащие «Плохая обработка ошибок: пустые блокировки» в Fortify Audit Workbench. Затем найдите поиск Пустого Catch Block, щелкните его правой кнопкой мыши и выберите «Создать фильтр ...»
В диалоговом окне фильтра выберите условие «Соответствие категориям: Плохая обработка ошибок: Empty Catch Block», а затем в действии ниже, выберите «Скрыть». Сохраните фильтр.
Первое, что вы обнаружите, - это то, что обнаружены остатки «Пустого улова». На этом этапе фильтр просто хранится в FPR.
Чтобы опубликовать этот фильтр в соответствии с политикой, выберите «Инструменты» -> «Конфигурация проекта» и экспортируйте шаблон проекта. Сохраните файл в каталоге установки в Core/config/filters /, как указано в файле readme. Если вы сделаете это на всех компьютерах, которые будут производить сканирование, все ваши FPR будут использовать один и тот же фильтр.
Если у вас есть центральный сервер Fortify 360, вы можете импортировать этот шаблон проекта на сервер. Он будет автоматически применяться к любой загрузке в проект этого шаблона.
Есть все равно, чтобы пропустить его, как например. для сонарного встроенного комментария // NOSONAR. Не поймите меня неправильно, фильтры прекрасны, поскольку люди, просматривающие отчеты, фактически зачисляют их (если вы знаете, что я имею в виду). –
Это недокументировано, но вы также можете указать файл фильтра для сканирования с параметром «-фильтр». Это может не работать во всех версиях SCA, но если оно работает в вашем, тогда правило будет идентифицировано и удалено до начала анализа. –