ฉันมีโครงการ Maven ฉันได้เรียกใช้การสแกน Fortify สำหรับสิ่งนี้และสร้างรายงาน PDF ได้สำเร็จ ตอนนี้ฉันกำลังพยายามรวมสิ่งนี้เข้าด้วยกันโดยเป็นส่วนหนึ่งของ Maven build และถือว่าเพิ่ม jars ที่เหมาะสมเนื่องจากการพึ่งพาควรทำงาน
คำถามของฉันคือ
คุณสามารถใช้ Maven Enforcer เพื่อบังคับใช้ว่าบิลด์ควรล้มเหลวเมื่อไม่ได้สร้างรายงาน หรือ คุณสามารถใช้กฎของผู้บังคับใช้ อื่นๆ ได้
ตัวอย่างเช่น บางอย่างเช่นนี้ คุณสามารถตั้งค่า phase และ Rules เมื่อคุณต้องการล้มเหลว
<plugin>
<groupId>org.apache.maven.plugins</groupId>
<artifactId>maven-enforcer-plugin</artifactId>
<executions>
<execution>
<id>enforce-fortify-reports</id>
<phase>verify</phase>
<goals>
<goal>enforce-once</goal>
</goals>
<configuration>
<rules>
<requireFilesExist>
<files>
<file>${project.build.outputDirectory}/report.frp</file>
</files>
</requireFilesExist>
</rules>
<fail>true</fail>
</configuration>
</execution>
</executions>
</plugin>
(ไม่ใช่วิธีแก้ปัญหาทั้งหมดแต่เป็นเพียงคำใบ้)
คุณสามารถใช้ FPRUtility (ส่วนหนึ่งของ SCA) เพื่อตรวจสอบข้อผิดพลาดและจำนวนปัญหา จากนั้นคุณสามารถใช้ Maven หรือ Ant เพื่อแยกวิเคราะห์ผลลัพธ์และทำให้บิลด์ล้มเหลว
# fprutility -information -project project.fpr -errors
[10002] Unable to parse T-SQL at tables.sql:612:3.
[10002] Unable to parse T-SQL at update.sql:72:27.
# fprutility -information -project project.fpr -search -query "[fortify priority order]:high OR [fortify priority order]:critical"
565 issues of 796 matched search query.
แก้ไข:
หมายเหตุ: หากคุณใช้ SSC เพื่อตรวจสอบปัญหา คุณควรอัปโหลดไฟล์ .fpr ที่สร้างขึ้นก่อน จากนั้นตรวจสอบผลลัพธ์ที่รวมเข้าด้วยกันเพื่อยกเว้นปัญหาที่ถูกระงับ เป็นต้น
