我对Fortify的Eclipse插件。 但它只能运行在Java项目。
我们有一些Java项目,但它们是基于Maven的非Java项目。 我可以编辑.project
项目的文件,并更改其类型为Java使Fortify的扫描。 但是,有没有更好的方式来运行基于Maven项目Fortify的扫描?
编辑对做下面的步骤,如下面的一些帖子提到的
- 安装的Maven插件Fortify的
- 新增的Maven巩固在我的应用程序插件POM细节
- 冉翻译和扫描命令。 它产生的项目下FPR文件
- 按照这个有用的博客太http://fortify-maven.blogspot.in/
我仍然有唯一的问题是:
我在其中创建每个项目的FPR文件的多个项目。 我可以有一个地方的所有项目,创建一个统一的FPR文件?
干杯,Saurav
Fortify的有一个Maven的插件,你应该能够使用。 检查此目录中:
<Fortify Installation Folder>\Samples\advanced\maven-plugin
编译插件为行家,然后你可以从内部Maven的运行转换和扫描命令。 该目录下有示例代码,当你构建插件的文件进行编译。
您可以在本地运行该程序包或将它集成作为构建过程的一部分。 在翻译阶段,SCA Maven插件将从本地资源库搜索你的jar文件,并尝试在你的应用程序来解决类。
按照下面的命令,
- MVN SCA:干净
- MVN SCA:翻译
- MVN SCA:扫描
当我们在一个Maven构建跑静态代码分析器(SCA)6.21.0005版本,扫描跑,但未能上传到Fortify Software的安全中心(SSC)。 上一次成功上传到SSC是从与6.21.0007扫描引擎版本的桌面审计工作台。 我们推测副版本这种差异造成了FPR文件上传到生产SSC的失败。 当我们修改了构建脚本加载FPR文件到一个新的项目,上传的工作,这意味着有似乎是在惠普的一侧的错误,他们已经证实。 我们可以通过创建一个新的项目,只有FPR的从单一源产生做一个变通方法。 我建议你使用一个单一来源为您的SCA或至少使用相同的SCA版本号,如果你必须使用多种扫描来源。