我有Fortify的Eclipse插件。 但它只能在Java项目上运行。
我们有一些Java项目,但它们是基于Maven的非Java项目。我可以编辑项目的.project文件并将其类型更改为Java以启用Fortify扫描。
但是有没有更好的方法在基于Maven的项目上运行Fortify扫描?
编辑必须执行以下某些帖子中提到的以下步骤
我唯一的问题是:
我有多个项目,其中创建了每个项目的fpr文件。我可以在一个地方为所有项目创建一个合并的fpr文件吗?
干杯, Saurav
答案 0 :(得分:3)
Fortify有一个你应该可以使用的Maven插件。检查此目录:
<Fortify Installation Folder>\Samples\advanced\maven-plugin
您将插件编译为maven,然后您可以在Maven中运行translate和scan命令。该目录包含示例代码,并在构建插件时编译文档。
答案 1 :(得分:2)
您可以在本地运行该程序包,也可以将其作为构建过程的一部分进行集成。在翻译阶段,SCA Maven插件将从本地存储库中搜索您的jar文件,并尝试解析应用程序中的类。
按照以下命令,
答案 2 :(得分:0)
当我们在maven版本中运行静态代码分析器(SCA)版本6.21.0005时,扫描已运行但无法上传到Fortify软件安全中心(SSC)。之前成功上传到SSC的是桌面审计工作台,扫描引擎版本为6.21.0007。我们推测这些次要版本的差异导致FPR文件上传到生产SSC失败。当我们修改构建脚本以将FPR文件加载到新项目中时,上传工作正常,这意味着HP方面似乎存在一个错误,他们已经确认了这一点。我们能够通过创建一个只有单一来源生成FPR的新项目来解决这个问题。如果您必须使用多个扫描源,我建议您为SCA使用单个源,或者至少使用相同的SCA版本号。