Fortify扫描日志分析步骤，Fortify扫描日志乱码怎么办，排查时先把Fortify代码扫描拆成可定位的几个阶段，再用Fortify扫描日志把卡点和根因锁定出来，最后再处理乱码这种“看不清”的问题，才能把同一套方法复用到本地、Jenkins、ScanCentral各类环境。

　　一、Fortify扫描日志分析步骤

　　Fortify扫描日志分析的关键不是通读，而是按阶段对齐现象。你先确认这次Fortify代码扫描属于本地SCA还是ScanCentral，再把日志按翻译、扫描、生成报告、上传四段切开看，基本就能在十分钟内把问题缩到一个范围。

　　1、先把本次扫描链路和日志入口对齐

　　（1）确认执行方式，是在命令行跑sourceanalyzer还是由Jenkins任务触发，或是在ScanCentral控制台分发到worker跑，这决定了日志在哪里产生；

　　（2）把本次构建的关键信息先抄出来单独放一行，包含Fortify版本、Rulepack版本、Java版本、构建号、项目版本名、扫描命令参数，后面所有结论都要回到这几项上核对；

　　（3）在Jenkins场景优先看【Console Output】和本次构建的归档产物目录，在ScanCentral场景优先看【Jobs】里该任务的worker日志与服务器侧调度日志。

　　2、按阶段拆日志，先定位卡在哪一段

　　（1）翻译阶段也叫Translate或Build capture，常见特征是不断输出编译单元、包含路径、宏定义相关信息，如果这里报错，通常会看到找不到头文件、编译器不识别、编译参数缺失、编译命令未捕获；

　　（2）扫描阶段也叫Scan或Analyze，常见特征是规则执行、内存占用上升、耗时较长，如果这里卡住或失败，日志里更容易出现内存不足、OutOfMemory、规则加载异常、临时文件写入失败；

　　（3）生成结果阶段通常会出现生成FPR、写入报告、打包结果等信息，如果这里失败，常见是输出目录权限不足、磁盘空间不足、路径过长、文件被占用；

　　（4）上传阶段涉及把FPR上传到SSC或把结果提交到服务器，常见失败点是网络超时、证书或代理问题、项目版本不存在、权限不足，日志里通常会出现HTTP状态码或认证失败提示。

　　3、用关键词筛选把根因从噪音里拉出来

　　（1）先搜ERROR、FATAL、SEVERE、Exception、OutOfMemory、Access denied、No space、Timeout、SSL，这类词通常能直接把根因段落定位出来;

　　（2）再搜“正在处理”“Processing”“Analyzing”“Translating”之类的阶段提示词，用前后时间戳判断是否真的停在某个文件或某条规则上；

　　（3）如果现象是Fortify代码扫描进度不动但日志仍在刷，优先把“最后一条持续重复的模块名或文件名”记下来，后续用它判断是不是单个超大文件、模板生成目录、依赖目录导致耗时异常。

　　4、把“问题复现条件”补齐，避免每次都从头猜

　　（1）固定一次可复现的构建号，保留完整Fortify扫描日志、执行命令、构建输出目录结构和机器资源快照，至少包含CPU、内存、磁盘剩余与IO情况;

　　（2）把扫描范围边界写清楚，哪些目录包含、哪些目录排除，第三方库与生成目录是否参与扫描，这直接决定日志规模和耗时曲线；

　　（3）对多人协作项目，把“同一套参数在本地能跑、在Jenkins跑不通”的差异点列出来，通常是环境变量、工作区路径、权限、JDK版本、代理证书这几类。

　　二、Fortify扫描日志乱码怎么办

　　Fortify扫描日志乱码通常不是工具本身坏了，而是日志生成环境和打开环境的编码不一致。你先分清乱码发生在控制台输出还是日志文件本身，再分别处理，避免一边修编码一边又被路径中文或Jenkins节点设置反复影响。

　　1、先判断乱码出现在什么位置

　　（1）如果Jenkins控制台乱码但下载到本地的日志文件正常，重点查Jenkins节点的控制台编码与Shell输出编码；

　　（2）如果日志文件本身打开就是乱码，重点查日志写入时的默认编码，尤其是Java进程的file.encoding和操作系统locale；

　　（3）如果只有报告里中文乱码而日志正常，重点查报告生成环节的字体与编码支持，优先用HTML对照验证，再处理PDF字体。

　　2、优先把运行环境统一到UTF-8或明确的中文编码

　　（1）Linux节点先检查LANG与LC_ALL，尽量使用zh_CN.UTF-8或C.UTF-8，避免默认C环境把非ASCII字符写成不可识别编码；

　　（2）Windows节点如果用cmd跑，先把控制台代码页切到UTF-8并确认字体支持中文，如果用PowerShell跑，优先检查输出编码设置，避免管道输出被转码；

　　（3）对由Java启动的Fortify组件，优先在启动参数或环境变量里统一设置-Dfile.encoding=UTF-8，确保日志写入编码稳定，不要靠默认值碰运气。

　　3、从路径和内容源头减少“天然乱码触发点”

　　（1）把Jenkins工作区、临时目录、输出目录尽量改成纯英文路径，中文路径最容易在跨平台、跨编码环境下把日志和报告一起带崩；

　　（2）如果扫描的源码目录里包含大量中文文件名或中文目录名，先评估是否能在构建阶段做一次目录映射或在归档阶段做统一重命名，至少确保关键产物路径是可跨环境读取的；

　　（3）对日志查看工具统一规定，团队内部用同一类编辑器并明确以UTF-8打开，避免有人用默认ANSI打开后误判为“日志坏了”。

　　4、乱码与进度异常同时出现时的处理顺序

　　（1）先解决能不能读的问题，把Fortify扫描日志用正确编码打开后再判断卡点，否则你看到的阶段信息可能本身就被破坏；

　　（2）再回到第一节的阶段拆分法确认是否卡在翻译、扫描、生成、上传中的某一段，编码问题解决后往往能直接看见真正的错误堆栈；

　　（3）最后再做复扫验证，用同一节点同一参数跑一轮短范围扫描，确认日志恢复可读后再扩大范围。

　　三、Fortify扫描日志如何沉淀为可复用排障清单

　　Fortify扫描日志分析如果每次都靠个人经验，很快就会变成“谁会谁修”。把日志采集、归档、复盘做成固定动作，才能让Fortify代码扫描遇到进度不动或乱码时快速分流处理。

　　1、固定每次必须归档的四类材料

　　（1）本次Fortify代码扫描的完整命令与参数快照，包含项目版本、构建号、规则包信息与扫描范围边界；

　　（2）Fortify扫描日志原文件与控制台输出，要求带时间戳且不做二次转码；

　　（3）机器资源与磁盘信息快照，至少记录内存、CPU、磁盘剩余与临时目录位置；

　　（4）最终产物与中间产物目录清单，包含FPR、报告目录与上传结果状态，便于后续对照“产物缺失”类问题。

　　2、把高频故障做成一页归因表

　　（1）翻译阶段错误优先看编译参数与依赖缺失，扫描阶段错误优先看内存与规则加载，生成阶段错误优先看权限与磁盘，上传阶段错误优先看网络与权限;

　　（2）乱码优先从节点编码、Java默认编码、路径中文三条线排查，先让日志可读再谈根因；

　　（3）把每类问题的处理动作写成三步法，定位点、验证方法、修复动作，每次复盘只补充新例外不重写旧经验。

　　总结

　　Fortify扫描日志分析步骤，Fortify扫描日志乱码怎么办，先按翻译、扫描、生成、上传四段把Fortify扫描日志切开定位卡点，再用错误关键词和时间戳锁定根因，乱码则先统一节点与Java的编码并尽量避免中文路径触发转码问题。