我正在使用带有Fortify360插件的maven来分析源代码。 sca:translate步骤运行正常并且似乎生成了正确的sca-translate-java.txt文件,但sca:scan步骤实际上并不在任何子项目上运行扫描。
我没有理由,只是错误消息:
* 跳过子项目的扫描
我是Fortify的新手。任何人都有这方面的经验,并有一些想法,为什么它可以跳过扫描?
谢谢!
答案 0 :(得分:1)
如果你的项目是从顶级pom继承的,你还需要使用-Dsca.toplevel = foo参数,还需要手动设置构建ID。
因此,在翻译步骤中,添加额外的-D参数以设置构建ID。
在扫描步骤中,添加相同的-D参数以设置构建ID。
同样在扫描步骤中,添加“顶级”-D参数。
答案 1 :(得分:0)
由于在ScanMojo中很好地自我记录,如果您想要整个项目的合计结果,则需要同时指定<buildId>...</buildId>和<toplevelArtifactId>...</toplevelArtifactId>,并且它们应该匹配,否则会跳过sub -项目。