[研究]Fortify SAST ( SCA ) 的 Quick View 的 Cirtical, High 為何比 Security Auditor View 要少 ?

[研究]Fortify SAST ( SCA ) 的 Quick View 的 Cirtical, High 為何比 Security Auditor View 要少 ?

2025-09-01

Fortify SAST ( SCA ) 的 Quick View 的 Cirtical, High 為何比 Security Auditor View 要少 ?

ChatGPT 說：

1️⃣ Security Auditor View

完整視圖：列出所有掃描出來的缺陷 (Issue)，包含：

• Critical / High / Medium / Low / Info
• 已標記為 False Positive、Mitigated 或 Not Exploitable 的缺陷

適合 安全審計與詳細分析。

2️⃣ Quick View

快速視圖 / 摘要：主要用來呈現真正需要關注的缺陷。

預設會 過濾掉部分缺陷：

• False Positive 過濾
• 系統或分析員認定該缺陷 不是實際安全問題，Quick View 不會顯示。
• Mitigated 過濾
• 缺陷已經被標記為「已減輕/補救」，Quick View 會自動忽略。
• Not Exploitable 過濾
• 缺陷存在但 無法被利用，Quick View 不計入數量。

因此 Quick View 的 Critical / High 會比 Security Auditor View 少。

********************************************************************************

敝人記得沒有去做 False Positive、Mitigated 或 Not Exploitable 的標記，但Fortify SAST ( SCA ) 的 Quick View 的 Cirtical, High 為何比 Security Auditor View 要少 ?

ChatGPT 說：

啊，這就很關鍵了，你提到「沒有去做任何 False Positive / Mitigated / Not Exploitable 標記」，但 Quick View 仍然比 Security Auditor View 少 Critical / High。這種情況有幾個常見原因，我幫你分析：

1️⃣ Fortify 的 Quick View 預設過濾規則

即便沒有人工標註，Quick View 也會依據 內建過濾規則 自動排除某些 Issue，例如：

類型	Quick View 處理方式	說明
Low / Medium / Info	過濾	Quick View 只顯示真正需要注意的高嚴重度缺陷，但有時 Medium 也會被過濾掉
Certain patterns	過濾	Fortify 會自動識別一些 不可利用的漏洞模式（例如 dead code 或 unreachable code）
Duplicate findings	過濾	Quick View 不會重複計算相同漏洞

所以即便你沒標註 False Positive，Quick View 也可能自動過濾掉一些 系統判定為不可利用或非實際漏洞的 Critical/High。

2️⃣ 漏洞被判定為「不可利用 (Not Exploitable)」

• Fortify SCA 的靜態分析會 自動分析程式流 (dataflow / control flow)。
• 若某個 Critical/High 漏洞在分析後判定：
• 程式永遠不會執行到該漏洞
• 或 漏洞無法被外部利用
• 則 Quick View 會自動 過濾掉，但 Security Auditor View 仍會列出。

3️⃣ 重複漏洞被合併

• 如果在程式中同一個漏洞在多個地方出現：
• Security Auditor View 可能顯示每個位置
• Quick View 只算一次，或直接合併
• 這也會導致 Quick View 的 Critical / High 數量看起來少。

4️⃣ Quick View 的風險分數算法

• Quick View 有時候會依據 漏洞可靠性 / 場景風險 做微調。
• 某些 SCA 報告裡的 Critical/High 漏洞，如果風險被判定為低，Quick View 可能不顯示。

🔹 總結

即使沒有人工標註 False Positive / Mitigated / Not Exploitable，Quick View 也可能比 Security Auditor View 少 Critical / High，原因主要是：

• Quick View 自動過濾不可利用或低風險漏洞
• Quick View 合併或去重漏洞
• Quick View 忽略部分 Medium/High 的可疑漏洞

(完)