Есть ли способ отобразить результат сканирования Fortify на Jenkins?
Я видел только плагин Jenkins для запуска сканирования Fortify и загрузки результатов на сервер Fortify, но не наоборот.
Есть ли способ отобразить результат сканирования Fortify на Jenkins?
Я видел только плагин Jenkins для запуска сканирования Fortify и загрузки результатов на сервер Fortify, но не наоборот.
У Fortify есть плагин для Jenkins. Он позволяет автоматически загружать результаты в Software Security Center после сборки. Плагин Jenkins также интегрируется с Центром безопасности программного обеспечения, чтобы отображать результаты сканирования в Jenkins. В наборе документации Fortify найдите документ HP_Fortify_Jenkins_Plugin_TN_4.30.pdf.
Я только что обнаружил, что в Google вы можете импортировать результаты Fortify в экземпляр SonarCube: http://www.sonarsource.com/products/plugins/integration/fortify/
Затем вы можете использовать веб-API Sonar для публикации результатов в Jenkins: or-do-we-have-sonar-report-jenkin">как опубликовать результаты сонара на сервере jenkins, или у нас есть плагин jenkins sonar-report
Я надеюсь, что это помогает :)
Вы можете использовать либо Fortify Audit Workbench (AWB), либо Fortify Software Security Center (SSC) для проверки (аудита) проблем (файл FPR), созданных на этапе Fortify sourceanalyzer.exe в сценарии Jenkins. Как инструмент сборки и развертывания с открытым исходным кодом, я не вижу, как Jenkins может быть подходящим инструментом для аудита проблем и публикации отчетов об ошибках. Пожалуйста, уточните свой вопрос, чтобы объяснить, что вы хотите с файлом FPR на сервере Jenkins.
Да: вам нужно вызвать внешний скрипт (gradle?) и использовать команду FPRUtility с параметром «-query». Вы можете протестировать запросы, используя поиск «Расширенный...» в инструментальных средствах аудита. Если вы сделаете это после слияния с предыдущим результатом (FPRUtility -merge...), вы можете добиться инкрементного сканирования.
Jenkins — это инструмент CI/CD, который помогает загружать результаты укрепления непосредственно в SSC (центр безопасности программного обеспечения) после сборки.
Интеграция HP Fortify с Jenkins:
Шаг 1) Установите плагин Jenkins на облачный сервер или вы можете напрямую получить доступ к облачному серверу Jenkins (если он уже установлен на сервере).
Шаг 2) Создайте папку в Jenkins и настройте свойства (внесите изменения в файл конфигурации с левой стороны).
Шаг 3) Отключите функцию загрузки в Jenkins (означает, что вы не можете указать ссылку SSC при настройке файла конфигурации слева), чтобы файл .FPR не загружался автоматически в SSC. Шаг 4) После успешной сборки пакетного сценария или сценария groovy вы сможете увидеть результат на консоли Jenkins.
пример:
Дайте мне знать, если у вас возникнут вопросы по интеграции Jenkins с fortify -SSC. Спасибо.
Я никогда не использовал Fortify с Jenkins, но вот еще одна альтернатива, которую вы используете с Jenkins через плагин. Читайте об этом здесь: https://blog.probely.com/how-to-configure-jenkins-to-integrate-security-into-ci-cd-2b340728de56
Вы запускаете сканирование из Jenkins как во фристайле, так и в конвейерном проекте.
Полное раскрытие: я тесно связан с Probely, я технический директор :)