强化 CI 整合

Fortify CI integration

作为来自 Jenkins 构建过程的扫描 运行 的一部分,FPR 文件使用 sourceanalyzer 工具生成并上传到 SSC。

查看 FPR 文件并在出现任何错误时停止构建的最佳方法是什么?

谢谢!

首先,您可以检查 sourceanalyzer 的翻译和扫描阶段的退出代码,如果它不为零,则出现问题。


专门检查翻译中的问题,运行:

sourceanalyzer -b <your_build_id> -show-build-warnings

您必须解析输出以过滤掉您认为是噪音的内容,并且 return 非零会使构建失败。 如果没有警告或错误,则不会有任何输出。


扫描:

FPRUtility -information -errors -project <your_FPR>.fpr

同样,您必须分析出您感兴趣的内容。如果 FPR 中没有存储任何错误或警告,您将得到:

No warnings occurred during analysis


最后,如果您想查找已发现的特定类型的漏洞,您可以使用: FPRUtility -information -search -query "<search string>"

其中 <search string> 是您可以在审计 Workbench 中使用的过滤器,例如要查找 SQL 注入漏洞,您可以指定 `-query "category: sql injection",输出将类似于:

72 issues of 1512 matched search query.