强化 CI 整合
Fortify CI integration
作为来自 Jenkins 构建过程的扫描 运行 的一部分,FPR 文件使用 sourceanalyzer 工具生成并上传到 SSC。
查看 FPR 文件并在出现任何错误时停止构建的最佳方法是什么?
谢谢!
首先,您可以检查 sourceanalyzer
的翻译和扫描阶段的退出代码,如果它不为零,则出现问题。
专门检查翻译中的问题,运行:
sourceanalyzer -b <your_build_id> -show-build-warnings
您必须解析输出以过滤掉您认为是噪音的内容,并且 return 非零会使构建失败。
如果没有警告或错误,则不会有任何输出。
在扫描:
FPRUtility -information -errors -project <your_FPR>.fpr
同样,您必须分析出您感兴趣的内容。如果 FPR 中没有存储任何错误或警告,您将得到:
No warnings occurred during analysis
最后,如果您想查找已发现的特定类型的漏洞,您可以使用:
FPRUtility -information -search -query "<search string>"
其中 <search string>
是您可以在审计 Workbench 中使用的过滤器,例如要查找 SQL 注入漏洞,您可以指定 `-query "category: sql injection",输出将类似于:
72 issues of 1512 matched search query.
作为来自 Jenkins 构建过程的扫描 运行 的一部分,FPR 文件使用 sourceanalyzer 工具生成并上传到 SSC。
查看 FPR 文件并在出现任何错误时停止构建的最佳方法是什么?
谢谢!
首先,您可以检查 sourceanalyzer
的翻译和扫描阶段的退出代码,如果它不为零,则出现问题。
专门检查翻译中的问题,运行:
sourceanalyzer -b <your_build_id> -show-build-warnings
您必须解析输出以过滤掉您认为是噪音的内容,并且 return 非零会使构建失败。 如果没有警告或错误,则不会有任何输出。
在扫描:
FPRUtility -information -errors -project <your_FPR>.fpr
同样,您必须分析出您感兴趣的内容。如果 FPR 中没有存储任何错误或警告,您将得到:
No warnings occurred during analysis
最后,如果您想查找已发现的特定类型的漏洞,您可以使用:
FPRUtility -information -search -query "<search string>"
其中 <search string>
是您可以在审计 Workbench 中使用的过滤器,例如要查找 SQL 注入漏洞,您可以指定 `-query "category: sql injection",输出将类似于:
72 issues of 1512 matched search query.