Como han mencionado otros, Fortify y la mayoría de las herramientas de escaneo no solo escanean el delta de archivos modificados. Escanean todo el código base.
Con Fortify, es una herramienta que hace un uso intensivo de recursos por naturaleza. Y si el código base es considerable, necesitará una máquina fuerte para cortarlo rápidamente. Sugiero lo siguiente ...
Suponiendo que tiene acceso a AWS o Azure, gire dos imágenes. Una es una imagen de intensidad de luz media, que contendrá el portal y los informes de Fortify. Éste puede permanecer despierto 24 horas. En segundo lugar, luego gire otra imagen muy fuerte, que solo estará activa durante los escaneos.
Para hacer esto, utilice Jenkins para hacer llamadas a la API para girar la imagen de la máquina de escaneo justo antes de comenzar el escaneo.
Si tiene un buen poder de cómputo, incluso con bases de código grandes, no debería tomar más de un par de horas para escanear.
Una vez que se complete el análisis, enviará los resultados al portal principal / servidor de informes y podrá usar nuevamente las llamadas API para cerrar esa instancia. Esto es para mantener sus costos bajos.
Por último, tenemos que hablar de Fortify vs. Sonarqube. Mi opinión personal es que debes usar ambos. Después de verter los resultados de ambos, Fortify recoge más elementos relacionados con la vulnerabilidad. Sonarqube recoge más problemas relacionados con la sintaxis / lógica, con algunas vulnerabilidades mezcladas.
En mi experiencia, se complementan muy bien.
Espero que esto ayude, si tiene más preguntas, envíeme un PM o pregúntelo aquí.
¡Buena suerte!