我们计划通过Azure DevOps Services实施CI / CD。需求中的关键之一是将Fortify On Demand集成到构建管道中。
我尝试将Fortify On Demand SCA任务添加到构建管道中,只需要很少的准备工作即可。在开始之前需要一些建议。
任何帮助将非常感激。谢谢!
Fortify on Demand需要一个包含所有依赖项的调试版本来扫描代码,因此您必须在生成后进行调试。
通常,您只需要为Fortify扫描创建一个单独的每周构建。它进行调试构建,并将人工制品上载到按需强化。FoD将花费一些时间来完成扫描,特别是如果您让其工作人员审阅扫描并消除误报(手动审阅)时。误报仍会解决,因为它们不知道您的应用程序的上下文。
请注意,在执行自动扫描之前,FoD需要进行手动扫描。如果尝试不先进行手动扫描就进行自动扫描,则会得到有关权利的神秘错误。
您可以通过为该应用程序创建2个发行版来进行设置。首先进行手动发布,这是通过在调试模式下构建并压缩整个目录来完成的。您手动开始扫描,并上传zip。
完成后,您将创建第二个版本,即自动扫描。您将结果从手动扫描导入自动扫描。从那时起,Azure插件应可用于自动扫描,直到您的订阅终止为止;那时,您必须在续订权利后必须进行手动扫描,才能使所有功能再次正常工作。如果他们解决这个问题,那就太好了...
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句