很多团队在Fortify里说“基线没生效”，实际遇到的常常不是同一类问题。有的是新版本根本没有把上一版本的审计状态带过来，有的是FPR其实上传到了另一条应用版本上，还有的是制品已经上传，但因为处理审批或结果刷新没走完，页面上暂时看不到预期状态。Fortify官方文档把这几层分得很清楚，所以这类问题不能只盯着“规则有没有变”，而要把应用版本、应用状态复制、制品处理和指标刷新放在一条线上看。

做Fortify代码审计时，最容易混掉的是两件事，一件是“这条结果是不是误报，该怎么标”，另一件是“审计注释到底要写到什么程度，后面的人才看得懂”。OpenText官方文档把这条线分得很清楚，审计时可以给问题设置Analysis等审计标签，也可以写COMMENTS；如果确定某条问题以后都不再关心，还可以继续做Suppress，但Suppress属于更强的、偏长期的处理动作。换句话说，误报标注和结果抑制不是同一个动作，注释也不该只写一句“误报”。

Fortify里最容易让团队卡住的，不是问题太多，而是把真正要修的缺陷、暂时接受的风险和明显误报全堆在一起处理。更稳的顺序是先用问题详情和事件路径确认是不是误报，再用审计状态和抑制动作把结果收口，最后把原因记录写成后续还能复核的证据链。Fortify官方文档把问题分析入口放在Source pane和Triage pane里，同时支持查看已抑制问题和维护审计属性，这正好对应这三步。

Fortify扫描失败，先不要急着反复重跑。更常见的原因不是平台本身坏了，而是扫描范围没有命中源码、翻译阶段没成功、输入文件类型不受支持，或者任务其实已经被调起但在执行中失败。Fortify官方文档把排查入口分成三层，也就是分析参数、日志文件和退出码，所以更稳的做法是先查范围，再看日志，最后再对照错误码。

Fortify规则包怎么更新，Fortify规则包在线更新失败如何排查，做好这件事的关键不是多试几次，而是把更新对象、版本口径、验证方式一次讲清楚，避免同一条流水线因为规则包不一致出现告警忽高忽低、门禁忽松忽紧的情况。想让Fortify扫描规则包稳定可控，建议把更新前记录、更新后核对、对照验证三步固定下来。

Fortify扫描c代码怎么配，Fortify扫描c代码编译命令如何采集，最常见的难点不是“命令能不能跑”，而是编译语义抓不全导致翻译不完整，最后扫描结果要么缺文件要么误报飙升。把Fortify扫描c代码当成一条固定流程来做，先把环境与Build ID口径统一，再把编译命令采集做成可复现动作，扫描质量和稳定性会明显提升。

Fortify扫描后怎么优化代码，Fortify代码扫描进度不动，很多团队真正卡住的不是“能不能扫出来”，而是扫出来之后怎么把问题变成可落地的改动清单，以及下一次扫描为什么又慢又像卡死。把Fortify代码扫描当成一条工程流水线来管理，先把结果分级、证据链补齐，再把构建与扫描环境稳定下来，代码优化和进度卡顿这两件事就能一起改善。

遇到Fortify审计页面看不到状态流转，很多时候并不是系统坏了，而是审计视图把状态相关字段隐藏了，或你们的审计口径还停留在默认模板，导致看起来只有漏洞列表，没有可切换的审计状态。把问题拆成两件事会更快，第一件事是确认你在AUDIT页里能看到用于审计的标签字段与分组入口，第二件事是把审计工作流用自定义标签与Issue Template固化下来，让多人审计时状态可见、可控、可追溯。

Fortify做静态扫描时，构建ID相当于一次扫描输入集的唯一标识，用来把翻译阶段的中间数据和后续扫描阶段绑定在一起。它一旦冲突，最直观的结果就是扫描跑不起来，或者扫出来的东西像是串了别的分支和别的构建。要把问题一次性解决，思路是先把冲突现场止住，再把命名规则统一到能长期复用的口径上。

Fortify SSC登录不上时，先别把问题归到账号密码上。更常见的是认证链路变了，例如启用了SAML单点登录或LDAP后，用户虽然过了认证但在SSC里没有对应角色而被拒绝；也可能是应用层本身没起来，前端还能打开登录页但提交后报错或无限跳转。要把原因缩小到可修复的点，最有效的方法是先按登录链路分段排查，再用SSC日志把具体错误定位到认证、授权、证书、反代或应用启动阶段。