Fortify CI интеграция
Как часть запуска сканирования из процесса сборки Jenkins, файлы FPR генерируются с использованием инструмента sourceanalyzer и загружаются в SSC.
Каков наилучший способ просмотреть файл FPR и остановить сборку в случае каких-либо ошибок?
Спасибо!
1 ответ
Во-первых, вы можете проверить код выхода sourceanalyzer для фаз перевода и сканирования, если он не равен нулю, что-то пошло не так.
Чтобы специально проверить наличие проблем в переводе, запустите:
sourceanalyzer -b <your_build_id> -show-build-warnings
Вам придется проанализировать выходные данные, чтобы отфильтровать то, что вы считаете шумом, и вернуть ненулевое значение, чтобы завершить сборку. Если не было предупреждений или ошибок, не будет никакого вывода из этого.
В скане:
FPRUtility -information -errors -project <your_FPR>.fpr
Опять же, вам придется разобрать, что интересует. Если в FPR не было никаких ошибок или предупреждений, вы просто получите:
Во время анализа предупреждений не было
Наконец, если вы хотите найти определенные типы обнаруженных уязвимостей, вы можете использовать:FPRUtility -information -search -query "<search string>"
куда <search string> это фильтр, который вы можете использовать в Audit Workbench, например, чтобы найти уязвимости SQL-инъекций, вы можете указать категорию `-query: sql инъекция", и результат будет примерно таким:
72 вопроса из 1512 соответствовали поисковому запросу.