바이너리를 작성하기 위해 작성된 C++ 코드에 대한 정적 분석을 강화하려고합니다. 그러나이 빌드는 완료하는 데 수 시간 (때로는 하루 이상)이 소요됩니다.실행 파일이나 .o 파일에서 SCA 빌드를 강화하십시오.
이 문제를 해결하려면 대상으로 사용하기 위해 위조 된 아카이브를 만들어서 모든 .o 파일 만 빌드하려고했습니다. 이 접근법에서 볼 수있는 장점은 코드가 팀 소유가 아니며 빌드 할 필요가없고 링크 시간도 절약된다는 것입니다. 내가 할 때 빌드 시간면에서 엄청난 이득을보고 있습니다.
그러나 팀원 중 한 명은 오탐 (false positive) 및 위음성 (false negative)을 초래할 수 있다고 생각합니다. 이는 소유권 외부의 코드와의 상호 작용을 놓치기 때문입니다. 그가 준 예제는 소유권 외부의 라이브러리에 대한 API 호출간에 공유 된 객체에 관한 것입니다. 즉, 도메인 외부의 개체 조작을 알 수 없습니다. 그러나 모든 파일 소유자가 자신의 코드에 대해 동일한 작업을 수행 할 때 처리하지 않겠습니까?
제 접근 방식이 올바른지 알려주세요.
모든 빌드에서 SCA를 실행하고 있습니까? 얼마나 자주 빌드입니까? 일반적으로 일주일에 한 번 SCA로 스캔해야합니다. – LaJmOn
안녕 LaJmOn, 2 주마다 스프린트가 있기 때문에 매주 달리기가 너무 늦을 수 있습니다. 그래서 우리는 더 짧은주기를 선호합니다. 더 중요한 것은 이러한 실행을하는 동안 Fortify의 속도에 의해 제한되기를 원하지 않는다는 것입니다. –