自动化强化审计 Workbench

Automating Fortify Audit Workbench

Fortify Audit Workbench 是否有任何命令行选项可以让我将其放入 cron 作业中并每天 运行 它?

扫描需要两个多小时,我希望它 运行 过夜并在早上看到结果。

贾森

sourceanalyzer 是命令行工具

我 运行 这个(作为 Windows 批处理文件)作为

sourceanalyzer -b 1234 devenv "VsSolution.sln" /REBUILD release

审计 Workbench 是基础 SCA 引擎的 GUI 前端 (sourceanalyzer)

如果您知道如何通过命令行扫描您的代码,您可以创建一个 windows 批处理文件或 bash 脚本来执行它。

最难的部分是想出翻译命令。这将是特定于语言和项目的。

您的脚本应该至少包含 3 个步骤

  • 清洁
  • 翻译
  • 扫描

还有第四个可选步骤,可将扫描结果上传到您的 SSC 实例。此步骤使用 fortifyclient 命令。

参考文献:

没有任何进一步的信息,我们无法帮助您使用实际命令。

其他答案都是正确的,但还有更简单的方法。有一个扫描向导可以为您创建批处理脚本。您将它指向您的项目,回答一些问题,然后它会创建一个脚本。选中一个框,它也会上传到 SSC。

扫描向导位于 /bin。它也可能位于“开始”菜单中,在“审核”旁边 Workbench。

注意:有时我不得不修改脚本。但是,如果您能够使用 Visual Studio 中的 Fortify 按钮进行扫描,那么默认脚本通常可以正常工作。