有没有办法在Jenkins上显示Fortify扫描结果?
我只看过Jenkins插件来运行Fortify扫描并将结果上传到Fortify服务器,但不是相反。
答案 0 :(得分:2)
Fortify有一个Jenkins插件。它允许您在构建后自动将结果上载到Software Security Center。 Jenkins插件还与软件安全中心集成,以显示Jenkins中的扫描结果。在Fortify文档集中,查找名为HP_Fortify_Jenkins_Plugin_TN_4.30.pdf的文档。
答案 1 :(得分:1)
我刚刚在Google上发现,您可以将Fortify结果导入SonarCube实例: http://www.sonarsource.com/products/plugins/integration/fortify/
接下来,您可以使用Sonar Web API在Jenkins中发布结果: how to publish sonar result in jenkins server, or do we have sonar-report jenkins plugin
我希望它有所帮助:)
答案 2 :(得分:0)
您可以使用Fortify Audit Workbench(AWB)或Fortify软件安全中心(SSC)审核(也称审核)Jenkins脚本中Fortify sourceanalyzer.exe步骤中生成的问题(FPR文件)。作为一个开源构建和部署工具,我不知道Jenkins如何成为审计问题和发布错误报告的合适工具。请澄清您的问题,以解释您对Jenkins服务器上的FPR文件的要求。
答案 3 :(得分:0)
是:您需要调用外部脚本(gradle?)并使用FPRUtility命令" -query"参数。您可以使用"高级..."来测试查询。在审计工作台中搜索。如果在与先前结果(FPRUtility -merge ...)合并后执行此操作,则可以实现增量扫描。
答案 4 :(得分:0)
Jenkins是CI / CD工具,可在构建后帮助将强化结果直接上传到SSC(软件安全中心)。
HP Fortify与Jenkins的集成:
第1步)在云服务器上安装Jenkins插件,或者您可以直接访问云Jenkins服务器(如果服务器上已经安装了它)。
第2步)在Jenkins中创建文件夹并配置属性(在左侧的配置文件中进行更改)。
第3步)在Jenkins中禁用上载功能(这意味着您不能在左侧配置配置文件时提供SSC链接),以便.FPR文件不会自动上载到SSC。 步骤4)一旦成功构建了批处理脚本或groovy脚本,您就可以在Jenkins控制台上查看结果。
示例:
让我知道在将Jenkins与Fortify -SSC集成时是否有任何疑问。谢谢
答案 5 :(得分:-1)
我从未将Fortify与Jenkins一起使用,但是这是您通过插件与Jenkins一起使用的另一种选择。在这里阅读:https://blog.probely.com/how-to-configure-jenkins-to-integrate-security-into-ci-cd-2b340728de56
您可以在自由样式项目和管道项目中从Jenkins开始扫描。
完全公开:我与Probely高度隶属,我是CTO:)