在Fortify SSC里面，扫描结果并不是直接放在单独的“应用名称”下的，它是需要放在具体的某个【应用版本】里面。大家在做SAST扫描结果上传的时候，不能光看FPR文件是不是生成成功了，还要看SSC里面的应用版本是不是建对了，属性是不是都填完了，上传的目标有没有选错。至于Fortify SSC应用版本怎么创建，还有Fortify SSC版本上传后为什么看不到结果，一般能顺着“建版本、传文件、看Artifacts、查Audit页面”这条线去排查。

　　一、Fortify SSC应用版本怎么创建

　　在建立应用版本之前，要先想好这个版本对应哪个项目，或者是哪个分支、哪个发布版本。不要把测试环境的数据、生产版本的数据还有不同分支的结果都混在一个版本里面，不然的话，后面的趋势对比、审计状态还有漏洞历史都会变乱。

　　1、进入应用创建入口

　　进到【Applications】页面之后，可以选创建一个新的Application，也能在已经有的Application下面去加一个新的Version。

　　要是系统第一次接入，一般先建Application，再建第一个Version；要是同一个系统进行升级，比如系统从1.0升到2.0，那就在已经有的Application下面加版本。SSC的应用版本有一些技术、组织和业务方面的属性，这些属性对跨应用对比和报表统计是有影响的。

　　2、填写版本基础信息

　　在【CREATE NEW APPLICATION VERSION】的向导里面，把版本名称、开发阶段、开发策略还有访问属性这些信息填上。

　　在这里，不能只填个版本号就觉得完事了。SSC在创建应用版本的时候，系统规定必须要填满所有的必填属性，常见的必填项有Development phase，还有Development strategy和Accessibility；要是企业的管理员配了自定义的字段，可能还要把业务线、系统负责人、数据分类和合规要求这些内容也补上。

　　3、确认权限和团队成员

　　等版本建好以后，要检查一下当前的用户，看看有没有上传结果的权限、看结果的权限，还有审计问题的权限。

　　很多时候遇到“上传后看不到结果”，其实不是文件没传上去，而是当前的账号只能看到应用版本，但是没有看漏洞明细或者处理Artifacts的权限。要是团队一起用，建议在建版本的时候就把安全人员、开发负责人和审计人员的角色分清楚，省得以后每次上传都在权限这里卡住。

　　4、保存后检查版本是否出现在列表中

　　回到【Dashboard】或者【Applications】页面，去确认一下新建立的版本能不能正常点开。

　　建完版本并不算最后一步，最好点进这个版本里面，看看【Audit】、【Artifacts】还有【Profile】这些页面是不是都能正常打开。后面上传FPR文件的时候，也一定要看清楚是传到了这个版本，别传到名字差不多的另一个版本去了。

　　二、Fortify SSC版本上传后为什么看不到结果

　　FPR文件上传成功，这只能说明文件传到SSC服务器了，并不一定代表漏洞结果已经处理完了，也不代表结果会立刻在Audit页面显示。特别是结果需要审批、处理的时候报错了、上传版本选错、或者过滤条件把结果藏起来的时候，页面看起来就跟“没有结果”一样。

　　1、先看Artifacts状态

　　进入【应用版本】，然后再到【Artifacts】里面，去看ARTIFACT HISTORY里面的状态。

　　在SSC上传扫描生成物的时候，得先去目标应用版本的Artifacts页面，然后再点【ARTIFACT】，接着点【+ADD FILES】，最后点【START UPLOAD】；等上传完了，ARTIFACT HISTORY就会把这个版本底下的扫描生成物列出来。最新的文档也说了，上传的文件不能比2GB还大，一次能选一个文件，也能选好几个文件。

　　要是Artifacts里面什么记录都没有，那就说明文件没传到这个版本里，或者是传到别的应用版本去了。这个时候先别急着刷Audit页面，应该先把上传的目标核对一下。

　　2、检查是否需要审批

　　要是Artifacts的状态显示的是【Requires Approval】，那结果就不会直接进到正常的处理流程里。

　　SSC里面可以配分析结果的处理规则，有时候上传的结果需要有人审批了才能继续处理，比如Rulepack变了、扫描文件数量变了、有分析警告、或者Build Project变了等情况。需要审批的时候，Applications视图里面会有提示，Artifacts表格的Status列也会显示Requires Approval。

　　解决的办法是进入【Artifacts】，点Requires Approval那一行，进去看Processing Messages，然后再点【APPROVE】并且把审批说明写上，等审批通过了，SSC才会接着处理这个扫描生成物。

　　3、查看是否处理失败

　　要是Artifacts的状态显示的是【Error Processing】，千万别看着页面空白发呆，要去点开错误的详情。

　　SSC在处理上传的生成物出错的时候，ARTIFACT HISTORY的Status那列就会显示Error Processing，上面还会带有一些提示，用来查看处理规则是不是有问题；点了对应的标记之后，就能看到Artifact Processing Messages，里面会写清楚上传处理的时候遇到了什么问题。

　　三、结果页面为空还要看哪些细节

　　有时候Artifacts已经显示上传成功了，但是Audit页面还是什么结果都看不到，这时候就要接着去看页面的过滤、扫描的内容还有处理的规则，千万别马上就觉得是“SSC系统坏了”。

　　1、清空Audit页面过滤条件

　　进到【Audit】页面之后，先把过滤器、Folder筛选、严重等级筛选还有隐藏问题的设置都清干净。

　　要是当前的视图只显示Critical级别的漏洞，而这一次扫描刚好没有Critical，那大家就会误以为没有结果。要是之前有人做过审计，把一些问题标记成了Hidden或者Suppressed，或者是换了自定义的Folder，这些情况都会让页面显示的数量变得很少。先切换回完整的视图，然后再去看Issue的总数，这样比较保险。

　　2、确认FPR里确实有问题

　　可以用Audit Workbench把同一个FPR文件打开，看看里面到底有没有Issues。

　　要是FPR文件本身就没有任何漏洞记录，那SSC肯定也不会凭空变出结果来。这个时候大家要回到SCA扫描的阶段去检查，看看翻译的文件是不是太少了，扫描是不是只跑了Quick Scan，规则包有没有正常装上，生成FPR的时候有没有报错。特别是项目第一次接入的时候，不能光看FPR文件在不在，得看FPR里面是不是真的有有效的分析结果。

　　3、检查处理规则是否拦截上传

　　进入【Profile】，然后再到【Processing Rules】里面，去看看当前版本的处理规则。

　　SSC里面的处理规则会影响扫描生成物上传之后的处理，比如Build Project变了、文件数量变多变少超过了限制、Rulepack变了、有分析警告、或者是级别比指定级别还低的quick scan和speed dial结果等，这些都可能让系统发起审批，或者直接阻止处理。

　　总结

　　关于Fortify SSC应用版本怎么创建，重点是先把Application和Version的关系建明白，然后把开发阶段、开发策略、访问属性这些必填的信息填全。关于Fortify SSC版本上传后为什么看不到结果，要优先去查【Artifacts】里面的状态，别光顾着刷【Audit】页面。只要按照上传目标、Requires Approval、Error Processing、过滤条件还有FPR自己内容这几个点一个一个去检查，基本上就能确定结果是真的没做出来，还是传上去了但是SSC还没正常处理完。