自动化强化审计 Workbench
Automating Fortify Audit Workbench
Fortify Audit Workbench 是否有任何命令行选项可以让我将其放入 cron 作业中并每天 运行 它?
扫描需要两个多小时,我希望它 运行 过夜并在早上看到结果。
贾森
sourceanalyzer
是命令行工具
我 运行 这个(作为 Windows 批处理文件)作为
sourceanalyzer -b 1234 devenv "VsSolution.sln" /REBUILD release
审计 Workbench 是基础 SCA 引擎的 GUI 前端 (sourceanalyzer
)
如果您知道如何通过命令行扫描您的代码,您可以创建一个 windows 批处理文件或 bash 脚本来执行它。
最难的部分是想出翻译命令。这将是特定于语言和项目的。
您的脚本应该至少包含 3 个步骤
- 清洁
- 翻译
- 扫描
还有第四个可选步骤,可将扫描结果上传到您的 SSC 实例。此步骤使用 fortifyclient
命令。
参考文献:
sourceanalyzer -h
- HPE Security Fortify Static Code Analyzer User Guide,根据语言 and/or 构建工具提供扫描过程和示例的概述。
- HPE Security Fortify Software Security Center Installation and Configuration Guide 第 10 章讨论了使用
fortifyclient
工具与 SSC 通信。
没有任何进一步的信息,我们无法帮助您使用实际命令。
其他答案都是正确的,但还有更简单的方法。有一个扫描向导可以为您创建批处理脚本。您将它指向您的项目,回答一些问题,然后它会创建一个脚本。选中一个框,它也会上传到 SSC。
扫描向导位于 /bin。它也可能位于“开始”菜单中,在“审核”旁边 Workbench。
注意:有时我不得不修改脚本。但是,如果您能够使用 Visual Studio 中的 Fortify 按钮进行扫描,那么默认脚本通常可以正常工作。
Fortify Audit Workbench 是否有任何命令行选项可以让我将其放入 cron 作业中并每天 运行 它?
扫描需要两个多小时,我希望它 运行 过夜并在早上看到结果。
贾森
sourceanalyzer
是命令行工具
我 运行 这个(作为 Windows 批处理文件)作为
sourceanalyzer -b 1234 devenv "VsSolution.sln" /REBUILD release
审计 Workbench 是基础 SCA 引擎的 GUI 前端 (sourceanalyzer
)
如果您知道如何通过命令行扫描您的代码,您可以创建一个 windows 批处理文件或 bash 脚本来执行它。
最难的部分是想出翻译命令。这将是特定于语言和项目的。
您的脚本应该至少包含 3 个步骤
- 清洁
- 翻译
- 扫描
还有第四个可选步骤,可将扫描结果上传到您的 SSC 实例。此步骤使用 fortifyclient
命令。
参考文献:
sourceanalyzer -h
- HPE Security Fortify Static Code Analyzer User Guide,根据语言 and/or 构建工具提供扫描过程和示例的概述。
- HPE Security Fortify Software Security Center Installation and Configuration Guide 第 10 章讨论了使用
fortifyclient
工具与 SSC 通信。
没有任何进一步的信息,我们无法帮助您使用实际命令。
其他答案都是正确的,但还有更简单的方法。有一个扫描向导可以为您创建批处理脚本。您将它指向您的项目,回答一些问题,然后它会创建一个脚本。选中一个框,它也会上传到 SSC。
扫描向导位于 /bin。它也可能位于“开始”菜单中,在“审核”旁边 Workbench。
注意:有时我不得不修改脚本。但是,如果您能够使用 Visual Studio 中的 Fortify 按钮进行扫描,那么默认脚本通常可以正常工作。