目前我们使用SonarQube作为源代码分析器。但现在在我们的组织中,他们计划使用HP Fortify SCA进行源代码分析。我们已将SonarQube与Jenkins集成,但我不知道如何将HP Fortify与Jenkins集成。用Google搜索,但我没有得到好的解决方案。任何人都可以帮助我。
答案 0 :(得分:1)
在持续集成版本中使用Fortify Jenkins插件,通过Micro Focus Fortify静态代码分析器确定源代码中的安全问题。 Fortify静态代码分析器分析完成后,您可以将结果上传到Micro Focus Fortify软件安全中心服务器。 Fortify Jenkins插件还使您能够查看Jenkins中的分析结果详细信息。它提供了每个构建的指标并提供了结果概述,而无需您登录Fortify软件安全中心。
使用Fortify Jenkins插件,您可以将Fortify静态代码分析器与以下构建工具集成:
您也可以不使用构建工具直接扫描源代码。
答案 1 :(得分:0)
HPE Fortify确实提供了Jenkins插件。
还有一个社区成员创建了一个Jenkins插件,他的组织使用该插件来集成Jenkins和Cloudscan(https://marketplace.saas.hpe.com/fortify/content/fortify-cloudscan-jenkins-plugin)。
以下是关于一位客户如何将Jenkins和CloudScan集成到他们公司(插件的作者)的一个很好的讨论。https://www.protect724.hpe.com/thread/22952
答案 2 :(得分:0)
我建议使用maven。有一个插件可用于强化maven
Fortify integration with maven - install
您可以在应用程序pom.xml中使用此插件,并从jenkins执行maven命令。
答案 3 :(得分:0)
HP Fortify与Jenkins的集成:
第1步)在云服务器上安装Jenkins插件,或者您可以直接访问云Jenkins服务器(如果服务器上已经安装了它)。
第2步)在Jenkins中创建一个文件夹并配置属性(在左侧的 configuration 文件中进行更改)。
第3步)完成配置部分。发布您必须提供安装fortify的云服务器链接(scar / ssc)和凭据。
使用“测试”按钮测试连接。
OR
如果您具有GitHub链接,则可以直接在Jenkins中添加链接并使用它们。
步骤4)现在,詹金斯和fortify-SSC之间建立了连接。
Jenkins:这是集成工具,可提供持续集成和持续开发(CI / CD)。
GitHub:GitHub是原始代码存储库,所有代码都保存在其中。
让我知道在将Jenkins与Fortify集成时是否有任何疑问。谢谢