Come altri hanno già menzionato, Fortify e la maggior parte degli strumenti di scansione non eseguono solo la scansione del delta dei file modificati. Esaminano l'intero codice base.
Con Fortify, è uno strumento che utilizza molte risorse per natura. E se la base del codice è considerevole, avrai bisogno di una macchina potente per superarla rapidamente. Suggerisco quanto segue ...
Supponendo di avere accesso a AWS o Azure, ruotare due immagini. Uno è un'immagine di forza medio-leggera, che manterrà il portale Fortify e la segnalazione. Questo può rimanere su 24 ore. In secondo luogo, quindi ruota un'altra immagine molto strong, che sarà attiva solo durante le scansioni.
Per fare questo, usa Jenkins per effettuare chiamate API per far ruotare l'immagine della macchina da scansione appena prima di iniziare la scansione.
Se ha una buona potenza di calcolo, anche con grandi basi di codice, non dovrebbe richiedere più di un paio d'ore per la scansione.
Una volta completata la scansione, invierà i risultati al portale principale / server di report e potrai nuovamente utilizzare le chiamate API per chiudere quell'istanza. Questo per mantenere bassi i costi.
Infine, dobbiamo parlare di Fortify vs. Sonarqube. La mia opinione personale è che dovresti usare entrambi. Dopo aver analizzato i risultati di entrambi, Fortify raccoglie più elementi correlati alla vulnerabilità. Sonarqube rileva più problemi di sintassi / logica, con alcuni elementi di vulnerabilità mescolati in.
Nella mia esperienza, si complimentano a vicenda.
Spero di aiutarti, se hai altre domande, mandami un PM o chiedilo qui.
Buona fortuna!