在 Azure Devops 服务 (VSTS) 上强化 OnDemand
Fortify OnDemand on Azure Devops Services( VSTS)
我们计划 CI/CD 使用 Azure DevOps 服务。需求中的关键之一是将 Fortify On Demand 集成到构建管道中。
我尝试将 Fortify On Demand SCA 任务添加到构建管道中,它只需要填写几个初步字段。在开始之前需要一些建议..
- 强化任务应该在构建之前还是之后触发
建造。我们正在使用 Fortify On Demand (SaaS),着眼于加速构建。
如有任何帮助,我们将不胜感激。谢谢!
Fortify on Demand 需要一个包含所有依赖项的调试版本来扫描代码,因此您必须在构建之后执行此操作。
通常情况下,您每周会有一个单独的构建仅用于您的 Fortify 扫描。它执行调试构建并将工件上传到 Fortify on Demand。 FoD 将需要一些时间来完成扫描,特别是如果您让他们的员工审查扫描并删除误报(人工审查)。误报仍然会通过,因为他们不知道您的应用程序的上下文。
请注意,在进行自动扫描之前,FoD 需要手动扫描。如果您在未先进行手动扫描的情况下尝试进行自动扫描,您将收到有关权利的神秘错误。
您通过为应用程序发布 2 个版本来设置它。首先进行手动发布,这是通过在调试模式下构建并压缩整个目录来完成的。您手动开始扫描,上传 zip。
完成后,您将创建第二个版本,即自动扫描。您将手动扫描的结果导入到自动扫描中。从那时起,Azure 插件 应该 用于自动扫描,直到您的订阅结束——届时您将必须在续订您的权利后进行手动扫描,以使一切恢复正常.如果他们解决了这个问题就好了...
我们计划 CI/CD 使用 Azure DevOps 服务。需求中的关键之一是将 Fortify On Demand 集成到构建管道中。
我尝试将 Fortify On Demand SCA 任务添加到构建管道中,它只需要填写几个初步字段。在开始之前需要一些建议..
- 强化任务应该在构建之前还是之后触发 建造。我们正在使用 Fortify On Demand (SaaS),着眼于加速构建。
如有任何帮助,我们将不胜感激。谢谢!
Fortify on Demand 需要一个包含所有依赖项的调试版本来扫描代码,因此您必须在构建之后执行此操作。
通常情况下,您每周会有一个单独的构建仅用于您的 Fortify 扫描。它执行调试构建并将工件上传到 Fortify on Demand。 FoD 将需要一些时间来完成扫描,特别是如果您让他们的员工审查扫描并删除误报(人工审查)。误报仍然会通过,因为他们不知道您的应用程序的上下文。
请注意,在进行自动扫描之前,FoD 需要手动扫描。如果您在未先进行手动扫描的情况下尝试进行自动扫描,您将收到有关权利的神秘错误。
您通过为应用程序发布 2 个版本来设置它。首先进行手动发布,这是通过在调试模式下构建并压缩整个目录来完成的。您手动开始扫描,上传 zip。
完成后,您将创建第二个版本,即自动扫描。您将手动扫描的结果导入到自动扫描中。从那时起,Azure 插件 应该 用于自动扫描,直到您的订阅结束——届时您将必须在续订您的权利后进行手动扫描,以使一切恢复正常.如果他们解决了这个问题就好了...