Можно ли показать результат сканирования Fortify на Jenkins

У Fortify есть плагин для Jenkins. Он позволяет автоматически загружать результаты в Software Security Center после сборки. Плагин Jenkins также интегрируется с Центром безопасности программного обеспечения, чтобы отображать результаты сканирования в Jenkins. В наборе документации Fortify найдите документ HP_Fortify_Jenkins_Plugin_TN_4.30.pdf.

Я только что обнаружил, что в Google вы можете импортировать результаты Fortify в экземпляр SonarCube: http://www.sonarsource.com/products/plugins/integration/fortify/

Затем вы можете использовать веб-API Sonar для публикации результатов в Jenkins: or-do-we-have-sonar-report-jenkin">как опубликовать результаты сонара на сервере jenkins, или у нас есть плагин jenkins sonar-report

Я надеюсь, что это помогает :)

Вы можете использовать либо Fortify Audit Workbench (AWB), либо Fortify Software Security Center (SSC) для проверки (аудита) проблем (файл FPR), созданных на этапе Fortify sourceanalyzer.exe в сценарии Jenkins. Как инструмент сборки и развертывания с открытым исходным кодом, я не вижу, как Jenkins может быть подходящим инструментом для аудита проблем и публикации отчетов об ошибках. Пожалуйста, уточните свой вопрос, чтобы объяснить, что вы хотите с файлом FPR на сервере Jenkins.

Да: вам нужно вызвать внешний скрипт (gradle?) и использовать команду FPRUtility с параметром «-query». Вы можете протестировать запросы, используя поиск «Расширенный...» в инструментальных средствах аудита. Если вы сделаете это после слияния с предыдущим результатом (FPRUtility -merge...), вы можете добиться инкрементного сканирования.

Jenkins — это инструмент CI/CD, который помогает загружать результаты укрепления непосредственно в SSC (центр безопасности программного обеспечения) после сборки.

Интеграция HP Fortify с Jenkins:

Шаг 1) Установите плагин Jenkins на облачный сервер или вы можете напрямую получить доступ к облачному серверу Jenkins (если он уже установлен на сервере).

Шаг 2) Создайте папку в Jenkins и настройте свойства (внесите изменения в файл конфигурации с левой стороны).

Шаг 3) Отключите функцию загрузки в Jenkins (означает, что вы не можете указать ссылку SSC при настройке файла конфигурации слева), чтобы файл .FPR не загружался автоматически в SSC. Шаг 4) После успешной сборки пакетного сценария или сценария groovy вы сможете увидеть результат на консоли Jenkins.

пример:

• Критический= 30 Высокий= 20 Средний=10

Дайте мне знать, если у вас возникнут вопросы по интеграции Jenkins с fortify -SSC. Спасибо.

Я никогда не использовал Fortify с Jenkins, но вот еще одна альтернатива, которую вы используете с Jenkins через плагин. Читайте об этом здесь: https://blog.probely.com/how-to-configure-jenkins-to-integrate-security-into-ci-cd-2b340728de56

Вы запускаете сканирование из Jenkins как во фристайле, так и в конвейерном проекте.

Полное раскрытие: я тесно связан с Probely, я технический директор :)