В проекте есть требование по ходу разработки прогонять SAST и устранять недочёты. Ближе к продакшну, я так понимаю, такие же проверки будут проведены заказчиком и каждый false-alarm нужно будет обосновывать. В идеале хотелось бы по каждому false-alarm'у отработать так, чтобы HP Fortify на них не ругался (т.е. понять его логику и переписать участки кода так, чтобы было ок). Однако, это требует нехилого количества экспериментов, а HP Fortify нельзя (как я понял) запустить "чуть-чуть" — он всегда колбасит от начала и до конца и занимает это порядка часа.
Одна из альтернатив — переносить участки проблемного кода в отдельный проект, где нет ничего кроме этого участка, и там гонять (вроде бы пустой проект с библиотекой HPE Fortify проверяет быстро). Но это нехило так усложнит жизнь — по каждой проблеме делать отдельный проект.

Может кто-нибудь подсказать по двум направлениям:
— как ускорить HP Fortify?
— чем (бесплатно) можно временно заменить HP Fortify? Т.е. чтобы тул давал примерно те же результаты и обладал примерно той же логикой, но работал бы для отдельно взятых участков кода, например.