ali*_*ce7 16 c# security configuration command-line fortify
有没有人用命令行来运行强化?我试着在我的CI构建中加入强化运行,我不知道该怎么做.
Asp*_*uru 15
由于我无法添加评论,我将不得不提供此答案.我们公司已将扫描流程集成到我们的TFS构建环境中,并且运行良好.
我们使用一系列"调用进程"构建活动来实现这一目标.整个安全扫描序列包含在条件中,该条件作为构建定义的参数公开.这允许我们根据需要启用或禁用扫描.我们还公开了一些其他的东西,比如Fortify Project,Fortify Project Version和另一个上传FPR文件的条件.
它的要点是这样的:
清洁
sourceanalyzer -b "Build ID" -clean
建立
sourceanalyzer -b "Build ID" devenv BuildID.sln /Rebuild Debug /out "C:\SSCLogs\SSCBuild.log"
扫描
sourceanalyzer -b "Build ID" -scan -format fpr -f BuildID.fpr
上传到SSC
fortifyclient.bat -url SSCServerUrl -authtoken XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX uploadFPR -file BuildID.fpr -project "MyProject" -version "MyProject v1.0.0"
如果你想要一个完整的纲要和/或一些屏幕截图,我很乐意为你提供一些东西.
小智 6
典型扫描的命令如下所示。
sourceanalyzer -b <build ID> <sourcecode>
sourceanalyzer -b <build ID> -scan -f <test>.fpr
fortifyclient uploadFPR -f <test>.fpr -project <projectname> -version <versionname> -urlhttps://fortify.com/f360 -user <username> -password <password> /// <authtoken>
但是,我需要有关构建标签的帮助。调用SCA时,可以为其分配构建标签。但是我不确定要为命令提供哪些选项。
sourceanalyzer -b testid codebase -build-label <option>
如果有人知道格式,请告诉我。
如果您在帮助文本中没有看到适当的构建命令,请告诉我们。现实世界中 99% 的调用都在那里。
根据您尝试构建的源代码类型,可以使用数十种不同的命令行开关和技术。
我建议您首先获取 SCA 用户指南。这是一个 PDF 文档,您可以从为您提供 Fortify 安装程序的人员处获取。
| 归档时间: |
|
| 查看次数: |
28092 次 |
| 最近记录: |