私はsourceanalyzerレポートで誤検出を示しているプロジェクトを持っています。たとえば、PASSWORD_DIALOG_TAGという静的変数を使用すると、ハードコードされたパスワードとして報告されます。私はこのラインを隠すことができる、または私の要塞レポートでこの特定の警告を抑制することができるようにしたいと思います。注意していただきたいのは、ハードコードされたパスワードの警告をすべて抑制したくないということです。SCAソースアナライザーからJavaコード行を隠すにはどうしたらいいですか?
私は、この特定の警告では単に変数名を変更できると知っていますが、他の種類の警告も簡単には修正されていません。
私はAWB >> Group By [Category Analyzer]によって、本当に偽陽性であることをまず確認します。 PASSWORD ...がセマンティックアナライザによって検出された場合、キーワードが「PASS/PASSWORD/PASSWORD/SSN/TXTNO ...」である可能性が高いです。
4つの方法があります問題を隠す
(1)@AWB抑制する:このルールでは、現在および将来のすべての問題を抑制するため、これはお勧めしません。ただし、この問題はDB内にあり、元に戻すことができます。 
**(2)@AWB NAI it:**これが推奨されます。分析タグをクリックして、それは問題ではないことをマークしてください(上の図を参照)
(3)@AWBフィルタリング:トップメニューバー>>オプション>>表示する>>フィルタ>>可視性フィルタ>>作成新しいフィルタ>>ポップアップウィザードが表示されます>>カテゴリが含まれます。 この方法は他の方法に相応しています。/NAIingと発行を抑制した後、あなたのリストから偽陽性を消すことができます。
(4)コマンドラインパラメータ-exclude/DIR/file.nameの絶対パスでをスキャン対象から特定のファイルを除外する(参照のみのためにここにリスト...)
私はコマンドラインだけを使用しています。これを行う別の方法はありますか? –
あなたはにPASSWORD_DIALOG_TAGを追加できません他のSASTツールのような「安全な」リスト? – yaloner
yaloner:多分?セーフリストをどこで見つけることができますか?私はそれが何かを変更する場合、コマンドラインを使用しています。 –
fortifyの注釈ライブラリをインポートしようとすると、そのフィールドに '@ FortifyNotPassword'と注釈を付けることができます。 – Robert