在 Eclipse 中强化对 Maven 项目的扫描
Fortify scanning in Eclipse over maven projects
我有 Fortify 的 Eclipse 插件。
但是 Java 个项目中只有 运行 个。
我们有一些 Java 项目,但它们是基于 Maven 的非 Java 项目。我可以编辑项目的 .project 文件并将它们的类型更改为 Java 以启用 Fortify 扫描。
但是有没有更好的方法来 运行 加强对基于 Maven 的项目的扫描?
编辑 必须执行以下某些帖子中提到的步骤
- 安装 Maven Fortify 插件
- 在我的应用程序 pom 中添加了 Maven fortify 插件详细信息
- 运行 翻译和扫描命令。它在项目
下生成了fpr文件
- 也关注这个有用的博客 http://fortify-maven.blogspot.in/
我唯一的问题是:
我有多个项目,每个项目都创建了一个 fpr 文件。我可以在一个地方为所有项目创建一个合并的 fpr 文件吗?
干杯,
索拉夫
Fortify 有一个您应该可以使用的 Maven 插件。签入此目录:
<Fortify Installation Folder>\Samples\advanced\maven-plugin
您将插件编译到 Maven 中,然后您可以 运行 从 Maven 中翻译和扫描命令。该目录包含示例代码,并且在您构建插件时会编译文档。
您可以 运行 在本地安装包或将其集成到您的构建过程中。在翻译阶段,SCA Maven 插件将从本地存储库中搜索您的 jar 文件,并尝试在您的应用程序中解析 类。
按照以下命令,
- mvn sca:clean
- mvn sca:translate
- mvn sca:scan
当我们运行 Maven 构建中的静态代码分析器 (SCA) 版本 6.21.0005 时,扫描 运行 但无法上传到 Fortify 软件安全中心 (SSC)。之前成功上传到 SSC 的是来自扫描引擎版本为 6.21.0007 的桌面 Audit Work Bench。我们推测次要版本的这种差异导致 FPR 文件上传到生产 SSC 失败。当我们修改构建脚本以将 FPR 文件加载到新项目中时,上传成功了,这意味着惠普方面似乎存在错误,他们已经确认了这一点。我们能够通过创建一个仅具有从单一来源生成的 FPR 的新项目来解决这个问题。我建议您为 SCA 使用单一源,或者如果您必须使用多个扫描源,至少使用相同的 SCA 版本号。
我有 Fortify 的 Eclipse 插件。 但是 Java 个项目中只有 运行 个。
我们有一些 Java 项目,但它们是基于 Maven 的非 Java 项目。我可以编辑项目的 .project 文件并将它们的类型更改为 Java 以启用 Fortify 扫描。
但是有没有更好的方法来 运行 加强对基于 Maven 的项目的扫描?
编辑 必须执行以下某些帖子中提到的步骤
- 安装 Maven Fortify 插件
- 在我的应用程序 pom 中添加了 Maven fortify 插件详细信息
- 运行 翻译和扫描命令。它在项目 下生成了fpr文件
- 也关注这个有用的博客 http://fortify-maven.blogspot.in/
我唯一的问题是:
我有多个项目,每个项目都创建了一个 fpr 文件。我可以在一个地方为所有项目创建一个合并的 fpr 文件吗?
干杯, 索拉夫
Fortify 有一个您应该可以使用的 Maven 插件。签入此目录:
<Fortify Installation Folder>\Samples\advanced\maven-plugin
您将插件编译到 Maven 中,然后您可以 运行 从 Maven 中翻译和扫描命令。该目录包含示例代码,并且在您构建插件时会编译文档。
您可以 运行 在本地安装包或将其集成到您的构建过程中。在翻译阶段,SCA Maven 插件将从本地存储库中搜索您的 jar 文件,并尝试在您的应用程序中解析 类。
按照以下命令,
- mvn sca:clean
- mvn sca:translate
- mvn sca:scan
当我们运行 Maven 构建中的静态代码分析器 (SCA) 版本 6.21.0005 时,扫描 运行 但无法上传到 Fortify 软件安全中心 (SSC)。之前成功上传到 SSC 的是来自扫描引擎版本为 6.21.0007 的桌面 Audit Work Bench。我们推测次要版本的这种差异导致 FPR 文件上传到生产 SSC 失败。当我们修改构建脚本以将 FPR 文件加载到新项目中时,上传成功了,这意味着惠普方面似乎存在错误,他们已经确认了这一点。我们能够通过创建一个仅具有从单一来源生成的 FPR 的新项目来解决这个问题。我建议您为 SCA 使用单一源,或者如果您必须使用多个扫描源,至少使用相同的 SCA 版本号。