使用maven插件强化扫描追加选项

时间:2014-09-29 10:02:26

标签: fortify

如何使用maven插件附加fpr报告?是否可以使用maven fortify命令进行扫描-append?

3 个答案:

答案 0 :(得分:1)

不,你不能直接用maven插件做这个。 合并 -append 是不同的功能。

然而,您可以通过使用maven执行翻译阶段来使用它,例如:

$sourceanalyzer -b my_maven_test -clean
$sourceanalyzer -b my_maven_test mvn sca:translate
$sourceanalyzer -b my_maven_test -scan -f results.fpr -append

不幸的是,这是目前获得此功能的唯一方法。然而,随后存在附加问题(例如代码应该完全独立于逻辑上以便单独扫描......可能难以确定)并且可能更难以维持扫描过程。我通常会建议尽可能一次性扫描整个项目。

答案 1 :(得分:0)

如果你可以调用.jar文件(我认为可以在Maven中使用),这是可能的。请参阅SCA Utilities用户指南。您正在寻找合并功能。在Fortify Maven插件之后,您应该能够进行另一个构建步骤然后进行合并。如果您希望在此之后生成报告,还可以执行构建步骤来执行报告生成器。

答案 2 :(得分:0)

“ - append”是一项应该将结果添加到现有FPR中的功能。没有正当理由这样做,除非您的扫描太大而无法一次性运行且您没有其他选择。在过去的几年里,性能选项已经提高到了你不应该再使用“-append”的程度。如果您确信必须使用此命令,请参阅技术支持以了解此命令的最新缺点。