作为从Jenkins构建过程运行扫描的一部分,使用sourceanalyzer工具生成FPR文件并上传到SSC。
如果有任何错误,检查FPR文件并停止构建的最佳方法是什么?
谢谢!
答案 0 :(得分:2)
首先,您可以检查翻译和扫描阶段sourceanalyzer的退出代码,如果它不为零,则会出错。
要专门检查翻译中的问题,请运行:
sourceanalyzer -b <your_build_id> -show-build-warnings
您必须解析输出以过滤掉您认为是噪声的内容并返回非零以使构建失败。 如果没有警告或错误,那么就不会有任何输出。
在扫描:
中 FPRUtility -information -errors -project <your_FPR>.fpr
同样,您必须解析感兴趣的内容。如果FPR中没有存储任何错误或警告,您只需获得:
分析期间未发出警告
最后,如果您要查找找到的特定类型的漏洞,可以使用:
FPRUtility -information -search -query "<search string>"
<search string>是您可以在Audit Workbench中使用的过滤器,例如要查找SQL注入漏洞,您可以指定`-query&#34; category:sql injection&#34;,输出将类似于:
1512个匹配搜索查询的72个问题。