在应用Fortify进行代码安全审查的过程中，团队通常需要补充证据附件，以满足审计、验收或内部流程要求。这些附件不仅用来说明漏洞成因、修复过程或绕过理由，还承载着开发合规性与安全性记录。为此，掌握fortify证据附件怎样补充，fortify证据附件尺寸应如何限制，是提升安全报告完整性与专业性的基础步骤。

　　一、fortify证据附件怎样补充

　　在Fortify SSC平台中，用户可以针对具体扫描结果或审查项上传支持性材料，常见格式包括截图、配置文件片段、评估说明文档等。操作路径明确，配合审计逻辑清晰地组织内容尤为关键。

　　1、进入SSC平台项目视图

　　登录Fortify SSC后，点击【Applications】，选择目标项目与对应版本，进入扫描结果页面。

　　2、定位具体问题项

　　在问题列表中选择目标漏洞条目，点击进入【Issue Details】页面，确认问题编号、文件路径与规则ID。

　　3、展开审计操作面板

　　点击【Audit】按钮，进入审计标注界面，页面中可见“Attachments”板块，即为证据上传入口。

　　4、点击上传证据按钮

　　点击【Upload Attachment】按钮，系统弹出文件选择窗口，支持拖拽或本地路径添加方式，将证据文件上传至该问题项。

　　5、填写附件说明与关联信息

　　在上传完毕后填写附件标题、描述内容以及必要的解释说明，建议清晰标注文件作用、来源与责任人。

　　6、完成审计状态标注并保存

　　在上传附件的同时，可将该问题设置为“Not an Issue”或“Requires Action”，并点击【Save】完成整个标注过程。

　　二、fortify证据附件尺寸应如何限制

　　平台对于证据文件上传并无无限制，为保证平台稳定性与可访问性，建议遵守一定的尺寸规范与格式要求。

　　1、单个附件大小建议控制在5MB以内

　　虽然SSC平台对上传文件上限通常设置为10MB，但从上传效率与页面加载角度出发，建议保持在5MB以下。

　　2、优先采用PDF与压缩格式归档

　　对于多图、多段文字证据，建议使用PDF整合或ZIP压缩成包上传，便于审计人员集中查阅与长期保存。

　　3、避免使用高分辨率未压缩图像

　　截图应统一转存为JPEG或PNG格式，并控制分辨率在1080p以内，防止出现附件加载卡顿或预览失败。

　　4、统一命名与版本控制机制

　　附件命名应采用“问题ID_责任人_版本号”格式，例如“ISSUE2134_zhangsan_v2.pdf”，提升检索效率。

　　5、限制敏感信息或代码泄露

　　上传前应确认附件中无包含私密路径、访问令牌或用户信息的内容，必要时可加脱敏处理或使用备注替代。

　　三、fortify证据附件管理流程应怎样规范

　　证据附件作为安全审计核心文档，其管理流程不应仅限于上传，还应在项目各阶段形成标准闭环。

　　1、在需求阶段定义需补充证据的关键类型

　　如登录认证、数据脱敏、访问控制等敏感模块，应明确要求开发与安全团队在提交代码同时补交验证附件。

　　2、设立专项文档统一汇总附件归档路径

　　除SSC平台上传外，可在企业内部文档管理系统中设立“Fortify审计材料”专用库，保存原始附件副本与说明材料。

　　3、由安全负责人定期审查附件有效性

　　定期检查上传证据的完整性、描述准确性与时效性，避免附件冗余、空文件或内容过期影响审计效果。

　　4、配合修复状态联动补充更新记录

　　当问题状态由“Open”转为“Fixed”或“Reopen”时，应同步上传前后对比图、修复逻辑说明作为证据补充。

　　5、确保所有关键审计项附有文档支撑

　　在最终扫描结果归档前，逐条确认所有高风险项都具备上传附件，防止留空条目导致审计评分扣分。

　　总结

　　fortify证据附件怎样补充，fortify证据附件尺寸应如何限制，反映出一个团队对安全审计规范化程度的把控。高质量的证据材料不仅提升漏洞处理闭环完整度，也为项目交付与合规审查提供了有力背书。完善上传步骤、控制尺寸范围、建立版本制度，将使整个安全交付流程更具透明性与可验证性。