我在Nexus的Release存储库中有二进制工件。我们需要将这些工件从Nexus上传到Veracode进行静态代码分析。
那么,在有或没有Maven的Nexus存储库中,将构建工件上传到Veracode的最佳(或任何合理的)方法是什么? " bash + curl"会很棒,甚至是Python脚本。?
答案 0 :(得分:0)
Maven存储库中的所有工件都可以通过普通的HTTP请求下载。所以任何脚本语言,包括bash + curl或wget都可以正常工作。这包括Python和任何其他支持HTTP的语言(基本上任何语言)。
最佳解决方案在很大程度上取决于您熟悉的内容以及与Veracode相关的内容。请记住,静态代码分析可能必须使用源工件而不是二进制输出。
您可能还想查看在二元成分分析分析方面您可以从Nexus Lifecycle,Nexus Auditor或Nexus Firewall获得的内容。
答案 1 :(得分:0)
此时Veracode没有专门的预建Nexus插件。但是,如果您有Veracode登录,则可以下载我们的API指南以及Java库,以帮助您从我们的帮助中心开始。根据语言和工件的构建方式,您应该能够利用API上传工件以进行扫描和检索结果,而无需访问源代码。
我们对您的用例感兴趣;如果您想进一步讨论,请随时联系我(veracode的tjarrett)。