是否可以在 Jenkins 上显示 Fortify 扫描结果
Is it possible to show Fortify scan result on Jenkins
有没有办法在 Jenkins 上显示 Fortify 扫描结果?
我只见过 运行 Fortify 扫描并将结果上传到 Fortify 服务器的 Jenkins 插件,反之则不然。
我刚发现在 Google 上,您可以将 Fortify 结果导入 SonarCube 实例:
http://www.sonarsource.com/products/plugins/integration/fortify/
接下来,您可以使用 Sonar Web API 在 Jenkins 中发布结果:
how to publish sonar result in jenkins server, or do we have sonar-report jenkins plugin
希望对您有所帮助:)
您可以使用 Fortify Audit Workbench (AWB) 或 Fortify 软件安全中心 (SSC) 来审查(也称为审计)在 Fortify sourceanalyzer.exe 步骤中生成的问题(FPR 文件)在你的詹金斯脚本中。作为一个开源构建和部署工具,我不认为 Jenkins 是一个适合审计问题和发布错误报告的工具。请澄清您的问题,以解释您想要使用 Jenkins 服务器上的 FPR 文件做什么。
是:您需要调用外部脚本(gradle?)并使用带有“-query”参数的 FPRUtility 命令。您可以使用审计 workbench 中的 "Advanced..." 搜索来测试查询。如果在与之前的结果合并后进行(FPRUtility -merge ...),则可以实现增量扫描。
Fortify 有一个 Jenkins 插件。它允许您在构建后自动将结果上传到软件安全中心。 Jenkins 插件还与软件安全中心集成,以在 Jenkins 中显示扫描结果。在您的 Fortify 文档集中,查找名为 HP_Fortify_Jenkins_Plugin_TN_4.30.pdf.
的文档
我从未将 Fortify 与 Jenkins 一起使用,但这是您通过插件与 Jenkins 一起使用的另一种选择。在这里阅读:https://blog.probely.com/how-to-configure-jenkins-to-integrate-security-into-ci-cd-2b340728de56
您在自由式项目和流水线项目中都从 Jenkins 开始扫描。
完全披露:我与 Probely 高度相关,我是 CTO :)
Jenkins 是 CI/CD 工具,有助于在构建后将强化结果直接上传到 SSC(软件安全中心)。
HP Fortify 与 Jenkins 的集成:
第1步)在云服务器上安装Jenkins插件或者直接访问云Jenkins服务器(如果服务器上已经安装)。
步骤 2) 在 Jenkins 中创建文件夹并配置属性(在左侧的配置文件中进行更改)。
步骤3)在Jenkins中禁用上传功能(意味着你不能提供SSC link,同时在左侧配置配置文件),这样.FPR文件就不会在SSC上自动上传。
第 4 步)一旦批处理脚本或 groovy 脚本成功构建,您就可以在 Jenkins 控制台上看到结果。
示例:
- 严重= 30
高= 20
中等=10
如果您在将 Jenkins 与 fortify 集成时有任何问题,请告诉我 -SSC.Thank you
有没有办法在 Jenkins 上显示 Fortify 扫描结果?
我只见过 运行 Fortify 扫描并将结果上传到 Fortify 服务器的 Jenkins 插件,反之则不然。
我刚发现在 Google 上,您可以将 Fortify 结果导入 SonarCube 实例: http://www.sonarsource.com/products/plugins/integration/fortify/
接下来,您可以使用 Sonar Web API 在 Jenkins 中发布结果: how to publish sonar result in jenkins server, or do we have sonar-report jenkins plugin
希望对您有所帮助:)
您可以使用 Fortify Audit Workbench (AWB) 或 Fortify 软件安全中心 (SSC) 来审查(也称为审计)在 Fortify sourceanalyzer.exe 步骤中生成的问题(FPR 文件)在你的詹金斯脚本中。作为一个开源构建和部署工具,我不认为 Jenkins 是一个适合审计问题和发布错误报告的工具。请澄清您的问题,以解释您想要使用 Jenkins 服务器上的 FPR 文件做什么。
是:您需要调用外部脚本(gradle?)并使用带有“-query”参数的 FPRUtility 命令。您可以使用审计 workbench 中的 "Advanced..." 搜索来测试查询。如果在与之前的结果合并后进行(FPRUtility -merge ...),则可以实现增量扫描。
Fortify 有一个 Jenkins 插件。它允许您在构建后自动将结果上传到软件安全中心。 Jenkins 插件还与软件安全中心集成,以在 Jenkins 中显示扫描结果。在您的 Fortify 文档集中,查找名为 HP_Fortify_Jenkins_Plugin_TN_4.30.pdf.
的文档我从未将 Fortify 与 Jenkins 一起使用,但这是您通过插件与 Jenkins 一起使用的另一种选择。在这里阅读:https://blog.probely.com/how-to-configure-jenkins-to-integrate-security-into-ci-cd-2b340728de56
您在自由式项目和流水线项目中都从 Jenkins 开始扫描。
完全披露:我与 Probely 高度相关,我是 CTO :)
Jenkins 是 CI/CD 工具,有助于在构建后将强化结果直接上传到 SSC(软件安全中心)。
HP Fortify 与 Jenkins 的集成:
第1步)在云服务器上安装Jenkins插件或者直接访问云Jenkins服务器(如果服务器上已经安装)。
步骤 2) 在 Jenkins 中创建文件夹并配置属性(在左侧的配置文件中进行更改)。
步骤3)在Jenkins中禁用上传功能(意味着你不能提供SSC link,同时在左侧配置配置文件),这样.FPR文件就不会在SSC上自动上传。 第 4 步)一旦批处理脚本或 groovy 脚本成功构建,您就可以在 Jenkins 控制台上看到结果。
示例:
- 严重= 30 高= 20 中等=10
如果您在将 Jenkins 与 fortify 集成时有任何问题,请告诉我 -SSC.Thank you