Fortify报告里的严重级别看着不对，常见原因不是扫描结果变了，而是你看的分级口径变了。Fortify里既可能按Fortify Priority Order分为Critical、High、Medium、Low，也可能按Issue Template里的文件夹与自定义标签来汇总展示，两套口径叠在一起就容易出现你以为是严重级别错了，其实是模板与映射没对齐的情况。

　　一、Fortify报告严重级别不符合预期怎么办

　　先把问题从“感觉不对”变成“哪一层在变”，你要先确认报告引用的字段与模板，再回到应用版本的模板绑定与内容更新记录。只要把口径来源锁定，后续改动才不会越改越乱。

　　1、先确认报告采用的分级字段是什么

　　在SSC的漏洞列表里把列配置打开，找是否存在Fortify Priority Order这类字段，再对照报告汇总页的分桶名称与数量，确认两边是否引用同一口径，避免列表看的是一种分级，报告用的是另一种分级。

　　2、核对近期是否发生内容更新导致优先级重算

　　如果同一类问题在不同批次扫描后分级上下跳，优先回查是否更新了规则内容或查询包，因为Fortify的优先级分桶与规则元数据有关，内容变化会带来分桶变化。

　　3、检查应用版本绑定的Issue Template是否选错或被更换

　　用管理员或安全负责人账号登录SSC，在页眉点【Applications】选择目标应用版本，在工具栏点【PROFILE】进入配置弹窗，再点【APPLICATION SETTINGS】进入版本设置区域，找到模板相关设置并检查是否绑定了你们约定的Issue Template，最后点【Save】保存。更换模板会影响该版本的度量口径，已生成的指标不会被重新计算。

　　4、确认Issue Template里是否启用了你们依赖的文件夹与过滤口径

　　Issue Template本身用于决定问题如何被优先级化与归类，如果你们的报告按文件夹统计或按自定义标签统计，模板里文件夹过滤或可见性过滤不一致，就会造成报告分级看起来偏离预期。

　　5、确认你看的报告是否为旧报表或旧模块生成

　　有些报表会保留生成时的统计快照，你改了模板或映射后需要重新生成一次报告再对比，不要只盯着旧文件反复确认，否则会误以为改动没有生效。

　　6、把不一致收敛为可复现对照

　　挑一条你最在意的漏洞，在Audit Workbench里打开同一份结果文件，查看它的Fortify Priority Order与归类位置，再回到SSC看同一条漏洞在当前模板下落在哪个文件夹或标签值里，用这一条做对照样本能最快判断问题在分级字段还是在映射规则。

　　二、Fortify严重级别映射怎么修改

　　所谓映射，更多是把Fortify自带的Priority Order或其他属性，转换成你们内部要用的S1到S4或P0到P3口径，并且让报告按这套口径稳定出图。更稳的做法是用Issue Template承载映射，用文件夹过滤和自定义标签固化规则，而不是试图硬改每条漏洞的显示。

　　1、先决定映射目标与承载方式

　　先明确你要输出的是内部严重级别字段还是仅改变报告分桶名称，如果要跨报表与缺陷流转复用，优先把内部严重级别做成自定义标签，再用模板规则去自动赋值与归类。

　　2、在Audit Workbench里建立一套用于映射的Filter Set

　　打开Audit Workbench，进入菜单【Fortify】→【Project Configuration】，切到【Filter Sets】页签，复制现有过滤集或新建一套过滤集，作为你们内部严重级别映射的承载集合。

　　3、用文件夹过滤把Priority Order映射到内部分级

　　在【Filter Sets】里为S1到S4分别建文件夹，在每个文件夹的过滤条件中引用Fortify Priority Order字段，把Critical映射到S1，把High映射到S2，把Medium映射到S3，把Low映射到S4，确保同一条漏洞在审计与报表中都落在同一分桶里。

　　4、把过滤集与文件夹提交到SSC用于模板化复用

　　仍在【Project Configuration】窗口，选中你的过滤集后点【Commit】，按提示输入Application Security也就是SSC的凭据，把过滤集与文件夹上传到Issue Template侧，后续就能在SSC里以模板形式复用。

　　5、在SSC里把自定义标签纳入模板并固定可编辑口径

　　在SSC页眉点【Administration】，在左侧导航展开【Templates】并进入【Custom Tags】，把你们需要的内部严重级别标签创建出来或补齐值域，再把这些标签与对应Issue Template关联，避免只靠文件夹名统计导致后续难以对接缺陷系统。

　　6、注意模板上传对已有标签的覆盖边界

　　通过Issue Template上传时，新定义的自定义标签会被加入系统并关联模板，但对已存在自定义标签的更新可能会被忽略，所以标签结构调整尽量在SSC的管理入口完成，模板更多负责引用与分配。

　　三、Fortify严重级别口径怎么校验

　　映射改完后，最容易踩坑的是你以为已经生效，其实版本还在用旧模板，或报告仍在引用旧口径。用一套固定的校验动作把绑定、数据与报表三件事逐一确认，才能保证后续扫描不会又看起来乱掉。

　　1、确认应用版本已绑定到新Issue Template

　　在SSC页眉点【Applications】进入目标应用版本，按【PROFILE】→【APPLICATION SETTINGS】找到模板配置，确认选中的是新模板并点【Save】保存，避免只上传了模板但版本仍沿用旧模板。

　　2、用同一条漏洞做三端对照校验

　　在Audit Workbench里确认该漏洞的Fortify Priority Order，在SSC漏洞列表里确认它当前落入的文件夹或标签值，在新生成的报告里确认它统计进了对应分桶，三端一致才算映射真正落地。

　　3、变更后重新生成一次报告再比较

　　完成模板绑定与映射调整后，回到报告入口重新生成一份报告，再对照分桶数量与样本漏洞，避免旧报表快照造成的误判。

　　4、把模板变更与内容更新写进变更记录

　　记录本次映射采用的模板名称、提交日期、规则内容版本与扫描预设，后续一旦出现分级漂移，先按记录回查内容更新与模板切换，定位会快很多。

　　5、需要切换口径且历史已处理较多时用新版本承接

　　如果当前应用版本已经完成大量审计与度量沉淀，更换模板后历史指标不会重算且不可删除，较稳的做法是新建应用版本绑定新模板，让新口径从新版本开始累积，避免历史与现行口径混在一起。

　　总结

　　Fortify报告严重级别不符合预期时，先确认报告引用的分级字段与应用版本绑定的Issue Template，再回查内容更新是否导致Priority Order分桶变化。要修改严重级别映射，优先用Audit Workbench建立过滤集与文件夹规则并【Commit】到SSC，再在【Administration】里把自定义标签与模板关联，最后用样本漏洞做列表、审计、报告三端对照确认生效，这样分级口径才能稳定可复用。