作为自动化运行安全代码分析过程的一部分,我有一个 Jenkins 作业,它使用 sourceanalyzer 命令行工具生成一个 .fpr 结果文件。目前,我正在 Audit Workbench 应用程序中打开此结果文件以查看结果并检查是否有任何新引入的问题等,并从中生成 PDF/XML 格式的报告。
有没有人可以通过命令行调用 Audit Workbench 并生成有关问题的报告,然后我们可以通过 Jenkins 脚本利用该报告,然后邮寄结果?在线查看命令行使用似乎停止在 fpr 生成阶段。
提前致谢!
最佳答案
有一个命令行实用程序可以从 FPR 文件生成报告。
目前有两种报告生成器:Legacy 和 BIRT。 BIRT 报告引擎在 4.40 版中引入了 Audit Workbench。
这是使用 BIRT 报告引擎生成 DISA STIG 报告的示例
BIRTReportGenerator -template "DISA STIG" -source HelloWorld_second.fpr
-output BirtReport.pdf -format PDF -showSuppressed --Version "DISA STIG 3.9"
-UseFortifyPriorityOrder
使用遗留的有点复杂。命令是:
ReportGenerator -format pdf -f LegacyReport.pdf -source HelloWorld_second.fpr
-template DisaStig3.10.xml -showSuppressed -showHidden
您可以使用位于
<SCA Install Dir>/Core/config/reports 中的预定义模板报告之一。目录或使用报告向导生成一个并保存存储在 C:\Users\<USER>\AppData\Local\Fortify\config\AWB-XX.XX\reports\ 中的模板。 Windows 中的目录。在 Linux/Mac 上查看配置文件
<SCA Install Dir>/Core/config/fortify.properties为 com.fortify.WorkingDirectory属性,这是将存储报告的位置
关于fortify - 通过命令行解释 Fortify 结果文件 (.fpr),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/37215412/