很多团队在Fortify里说“基线没生效”，实际遇到的常常不是同一类问题。有的是新版本根本没有把上一版本的审计状态带过来，有的是FPR其实上传到了另一条应用版本上，还有的是制品已经上传，但因为处理审批或结果刷新没走完，页面上暂时看不到预期状态。Fortify官方文档把这几层分得很清楚，所以这类问题不能只盯着“规则有没有变”，而要把应用版本、应用状态复制、制品处理和指标刷新放在一条线上看。

　　一、Fortify基线不生效

　　先把话说透。Fortify官方公开文档里，和很多团队口中的“基线”最接近的，其实是创建新应用版本时复制上一版本的Application state，也就是把上一版本关联的issues和audits一起带到新版本里。如果这一步没有选，或者选了但复制时机不对，后面就很容易出现“新版本像从零开始”这种感觉。

　　1、先看新版本是不是从旧版本复制出来的

　　Fortify在新建应用版本时支持【Use existing application version】，默认可以带入所选版本的设置；如果要把上一版本的issues和audits也一起带过来，还要额外勾上【Application state】。这一步如果没做，后面再上传新FPR时，你看到的就是一条没有历史审计状态的新版本，自然会觉得“基线不生效”。

　　2、再看复制时有没有先刷新应用指标

　　官方文档有个很容易被忽略的限制，就是【Application state】只能复制到最近一次application metrics refresh为止的审计数据。也就是说，如果上一版本刚做完大量审计，但还没点【Pending Changes】去刷新应用指标，这部分最新状态并不会被带进新版本。很多看起来像“复制了但没生效”，其实卡在这里。

　　3、制品上传后还要看是不是已经真正处理完成

　　就算应用状态已经复制，新上传的FPR也不是一进来就立刻体现在审计页面。官方说明，制品上传后要先进入应用版本的【Artifacts】里看状态；如果状态不是【Processing Complete】，那结果链路就还没完全走完。再往下，如果这一版启用了analysis result processing rules，制品还可能先停在【Requires Approval】状态，不批准就不会继续处理。

　　4、别把旧版本基线和新版本扫描结果混成一件事

　　Fortify官方对应用版本的定义很明确，application version本身就是某一版代码变体的数据和属性载体。说得直接一点，基线不是挂在整个应用名上自动漂移的，它最终还是落在具体应用版本上。所以如果你以为“同一个应用名下面的新扫描应该自动继承所有老版本状态”，这种理解本身就容易把排查方向带偏。

　　二、Fortify基线与应用版本绑定怎么核对

　　真要核对绑定，别只看页面标题。更稳的查法，是先确认这次FPR到底上传到了哪一个application version，再确认这条version本身是不是从旧版本复制了application state，最后才去看页面里的审计结果。Fortify官方文档已经把命令行上传和版本列举入口给出来了，所以这一步最好按“先查目标版本，再查状态来源”的顺序做。

　　1、先核上传目标是不是这条应用版本

　　Fortify支持用fortifyclient按应用名和版本名上传FPR，也支持直接按applicationVersionID上传。按官方文档，命令行里如果用的是application和applicationVersion组合，前提是名字和版本名都要完全对上；如果团队里同名应用或版本命名比较像，最稳的办法通常是先用listApplicationVersions把清单拉出来，再直接核对applicationVersionID。这样比只凭页面肉眼看版本名更稳。

　　2、再核新版本创建时选的是哪一个旧版本

　　官方新建版本向导里，先选【Use existing application version】，再在【VERSIONS】列表里点具体哪一版，最后才能决定是否复制【Application state】。所以核对绑定时，不只是看“有没有勾复制”，还要看“是从哪一版复制”。如果源版本选错了，复制动作本身再完整，带过来的也会是另一条基线。

　　3、看页面时先查Artifacts，再回Audit

　　如果你直接跳到【AUDIT】页看结果，很容易把“还没处理完”和“根本没绑定上”看成一回事。官方文档已经给出更稳的路径，就是先到应用版本的【Artifacts】看上传记录和处理状态，再回到【AUDIT】页看审计结果。只有当制品状态已经到【Processing Complete】，你再去判断基线有没有生效，这个结论才更可靠。

　　4、应用版本有待刷新标记时先别急着下结论

　　官方写得很清楚，如果application version有pending audit information，Overview页会显示【Pending Changes】入口，点进去刷新后才会更新该版本的最新指标。也就是说，绑定已经对了、制品也处理完了，但如果应用指标还没刷新，页面上仍然可能暂时不像你预期的那样“继承了基线”。这种情况不算绑定错了，而是结果展示还没完全同步。

　　三、Fortify先查版本还是先查制品

　　这类问题最容易做反的地方，就是一看到“基线没生效”，就先去怀疑规则、模板或者审计人员操作。其实更稳的顺序通常是先查版本，再查制品，最后才查审计展示。因为Fortify这条链路里，application version是承载体，artifact upload是数据进入点，audit页面只是结果展示层。前面两层没站稳，后面怎么看都容易误判。

　　1、第一步先查application version

　　先确认这一版是不是你真正要看的版本，是不是从正确旧版本创建出来的，有没有勾上【Application state】。这一步最值钱，因为它直接决定“基线应该从哪里来”。

　　2、第二步再查artifact upload

　　确认FPR是不是传到了这条version上，状态是不是【Processing Complete】，有没有卡在【Requires Approval】。这一步决定“新结果有没有真正进来”。

　　3、第三步最后才查审计页面和指标刷新

　　当前两层都已经站稳，再去看【AUDIT】页、【OVERVIEW】页和【Pending Changes】是否刷新完整，这时候看到的现象才更接近真实状态。否则你前面看到的很多“不生效”，其实只是展示层还没同步完。

　　总结

　　Fortify里所谓“基线不生效”，很多时候并不是一个抽象故障，而是几种具体情况混在一起了。最常见的几类就是新版本没有复制Application state，复制前没有先刷新旧版本指标，FPR上传到了别的application version，或者制品还停在待审批、待处理状态。真要查清，就别只在审计页面来回看，先把版本来源、上传目标和处理状态一层层核对清楚，问题通常会比一直盯着“为什么没继承上次结果”更快收住。