Fortify和Jenkins集成(chéng)
- 分類:新聞資訊
- 作者:蘇州華克斯信息科技有限公司
- 來源:蘇州華克斯信息科技有限公司
- 發(fā)布時(shí)間:2023-04-11
- 訪問量:0
【概要描述】
Fortify和Jenkins集成(chéng)
【概要描述】
- 分類:新聞資訊
- 作者:蘇州華克斯信息科技有限公司
- 來源:蘇州華克斯信息科技有限公司
- 發(fā)布時(shí)間:2023-04-11
- 訪問量:0
Fortify和Jenkins集成(chéng)
這(zhè)是 Fortify Static Code Analyzer (SCA) 和 Fortify Software Security Center (SSC) 的官方 Jenkins 插件。
該插件增加了使用 Micro Focus Fortify 靜态代碼分析器執行安全分析、將(jiāng)結果上傳到 Micro Focus Fortify SSC、顯示分析結果摘要以及根據分析結果設置構建失敗标準的功能(néng)。
總結
在持續集成(chéng)構建中使用 Fortify Jenkins 插件,通過(guò) Fortify 靜态代碼分析器識别源代碼中的安全問題。Fortify 靜态代碼分析器分析完成(chéng)後(hòu),您可以將(jiāng)結果上傳到 Fortify 軟件安全中心服務器。Fortify Jenkins 插件還(hái)使您能(néng)夠在 Jenkins 中查看分析結果詳細信息。它提供了每個構建的指标和結果的概述,而無需您登錄 Fortify 軟件安全中心。
特征
提供構建後(hòu)操作,以使用 Fortify 靜态代碼分析器分析源代碼、更新安全内容、使用 Fortify ScanCentral SAST 進(jìn)行遠程分析、將(jiāng)分析結果上傳到 Fortify 軟件安全中心,并根據 Fortify 軟件安全中心處理的上傳結果將(jiāng)構建狀态設置爲不穩定
使用 Fortify 靜态代碼分析器在本地和 Fortify ScanCentral SAST 遠程爲源代碼分析提供管道(dào)支持,更新安全内容并將(jiāng)分析結果上傳到 Fortify 軟件安全中心
顯示使用 Fortify 靜态代碼分析器在本地分析的每個作業的分析結果,其中包括 Fortify 軟件安全中心的曆史趨勢和最新問題,以及導航到 Fortify 軟件安全中心上的各個問題以進(jìn)行詳細分析
視頻教程
設置
這(zhè)組說(shuō)明介紹如何配置插件以運行本地 Fortify 靜态代碼分析器掃描,將(jiāng)分析結果上傳到軟件安全中心,然後(hòu)在 Jenkins 中查看分析結果。您還(hái)可以使用 ScanCentral SAST 運行分析。有關說(shuō)明,請參閱完整文檔。
創建 CIToken 類型的身份驗證令牌。登錄 Fortify 軟件安全中心,單擊“管理”選項卡,然後(hòu)在左側窗格中選擇“令牌管理>用戶”。單擊“新建”創建 CIToken 類型的身份驗證令牌,然後(hòu)單擊“保存”。複制對(duì)話框底部的解碼令牌。
在 Jenkins 中,安裝 Fortify 插件。
從“Jenkins”菜單中,選擇“Jenkins”>“管理 Jenkins”>“配置系統”。要根據結果觸發(fā)不穩定構建并在 Jenkins 中查看分析結果,您需要將(jiāng)本地運行的分析結果上傳到 Fortify 軟件安全中心。向(xiàng)下滾動到強化評估部分,然後(hòu)執行以下操作:
在“SSC URL”框中,鍵入“強化軟件安全中心服務器 URL”。
在“身份驗證令牌”框下方,單擊“添加> Jenkins”以打開(kāi)“Jenkins 憑據提供程序”對(duì)話框,并添加類型爲“強化連接令牌”的憑據。添加憑據的說(shuō)明,并將(jiāng)在步驟 1 中創建的令牌值粘貼到“令牌”框中。
要使用 Jenkins 中配置的代理設置連接到 Fortify 軟件安全中心,請選擇“使用 Jenkins 代理”。
單擊測試 SSC 連接。
若要使用 Fortify 靜态代碼分析器分析項目或在生成(chéng)過(guò)程中更新 Fortify 安全内容,請确保 Fortify 靜态代碼分析器位于系統 Path 環境變量中,或創建 Jenkins 環境變量以指定 Fortify 靜态代碼分析器可執行文件的位置。在“全局屬性”中,創建以下環境變量:
名字:FORTIFY_HOME
值:<sca_install_dir>其中<sca_install_dir>是 Fortify 靜态代碼分析器的安裝路徑。例如,在 Windows 上,默認安裝位置爲 C:\Program Files\Fortify\Fortify_SCA_and_Apps_<version>。
從 Docker 運行 Jenkins 時(shí)的配置
在 Docker 容器中運行 Jenkins 時(shí),<sca_install_dir>目錄挂載到 Docker 容器,以便從 Docker 訪問 Fortify Static Code Analyzer 可執行文件。以下命令是如何執行此操作的示例:
對(duì)于此示例,FORTIFY_HOME的值爲 。/var/Jenkins_home/Fortify/Fortify_SCA_and_Apps_22.1.0
預覽
咨詢
此插件的舊版本可能(néng)不安全使用。在使用早期版本之前,請查看以下警告:
以純文本形式存儲的憑據
關于蘇州華克斯信息科技有限公司
聯系方式:400-028-4008 0512-62382981
專業的測試及安全産品服務提供商
Fortify | Webinspect | AppScan | SonarQube | 極狐GitLab
LoadRunner | UFT(QTP) | ALM(QC)
Micro Focus 鉑金合作夥伴 | SonarQube中國(guó)總代理
極狐GitLab鉑金級合夥伴 | HCL中國(guó)合作夥伴
掃二維碼用手機看
更多資訊