如果强化扫描报告新发现,如何失败或将构建标记为不稳定
答案 0 :(得分:0)
Fortify提供了一个Jenkins插件,目前here可用。
您配置它与SSC的连接,它将把扫描结果从Jenkins工作区上传到您选择的应用程序版本中。 然后,该插件会等待指定的时间段,以期SSC将完成该上传的处理,这对于确定与上次扫描相比哪些新问题是必不可少的。
它不会轮询SSC来查看作业是否不幸完成,它将始终在其配置中等待指定的时间段。
因此,您应该选择等待时间,这将使SSC及时处理结果,这将取决于SSC服务器上的负载以及需要处理的FPR的大小。理想情况下,插件将等待SSC完成结果处理所需的时间,但不等待当前版本(撰写本文时为18.10)
您可以设置搜索条件以针对SSC上的应用程序版本运行,如果有匹配的漏洞,您的Jenkins版本将被标记为不稳定。
要使用任何新漏洞将构建标记为不稳定,请使用搜索条件:[issue age]:new