Уважаемые пользователи stackoverflow и сотрудники DevSecOps,
Я просмотрел Fortify: как получить список проблем (уязвимостей) в рамках проекта, использующего fortify rest API при поиске решения моей проблемы. Но это не помогает и касается другого аспекта.
Желание: я хочу автоматически запрашивать Fortify API (или CLI) в моем конвейере разработки после каждого сканирования, чтобы получить список проблем (уязвимостей) и завершить сборку, если какая-либо проблема будет обнаружена.
Проблема: Fortify API принимает токен, срок действия которого истекает, скажем, через 24 часа. Для создания токена мне нужны учетные данные пользователя. Можно войти вручную и сгенерировать токен, если я хочу запросить API из своего почтальона или консоли... но я хочу сканировать каждое изменение кода, связанное с моими инструментами CI/CD, и, если что-то будет найдено - сломать строить.
- Я не могу хранить свои учетные данные пользователя и использовать их в конвейере, так как это неуместно.
- У меня не может быть служебной учетной записи или чего-то еще, это не настоящий пользователь для входа в систему или доступа к API.
- Нет возможности иметь постоянный токен
Что посоветуете, как с этим справиться?
