有没有办法在Jenkins上显示Fortify扫描结果?
我只看到Jenkins插件运行Fortify扫描并将结果上传到Fortify服务器,但不是相反。
Fortify有一个Jenkins插件。它允许您在构建后自动将结果上载到Software Security Center。 Jenkins插件还与软件安全中心集成,以显示Jenkins中的扫描结果。在Fortify文档集中,查找名为HP_Fortify_Jenkins_Plugin_TN_4.30.pdf的文档。
我刚刚在Google上发现,你可以将Fortify结果导入SonarQube实例:qazxsw poi
接下来,您可以使用Sonar Web API在Jenkins:http://www.sonarsource.com/products/plugins/integration/fortify/中发布结果
我希望它有帮助:)
您可以使用Fortify Audit Workbench(AWB)或Fortify软件安全中心(SSC)来审查(也称审计)Jenkins脚本中Fortify sourceanalyzer.exe步骤中生成的问题(FPR文件)。作为一个开源构建和部署工具,我不知道Jenkins如何成为审计问题和发布错误报告的合适工具。请澄清您的问题,以解释您对Jenkins服务器上的FPR文件的要求。
是:您需要调用外部脚本(gradle?)并使用带有“-query”参数的FPRUtility命令。您可以使用审计工作台中的“高级...”搜索来测试查询。如果在与先前结果(FPRUtility -merge ...)合并后执行此操作,则可以实现增量扫描。
我从来没有和Jenkins一起使用Fortify,但是这是另一个你通过插件与Jenkins一起使用的替代品。在这里阅读:how to publish sonar result in jenkins server, or do we have sonar-report jenkins plugin
您可以在自由式和管道项目中扫描Jenkins的扫描。
完全披露:我与Probely有很高的关系,我是CTO :)