我们计划使用 Azure DevOps 服务实现 CI/CD。需求中的关键之一是将 Fortify On Demand 集成到构建管道中。
我尝试将 Fortify On Demand SCA 任务添加到构建管道中,它只需要填写几个初步字段。在开始之前需要一些建议..
- 强化任务是在构建之前还是构建之后触发 build 。我们正在使用 Fortify On Demand (SaaS),着眼于加速构建。
任何帮助将不胜感激。谢谢!
最佳答案
Fortify on Demand 需要一个包含所有依赖项的调试构建来扫描代码,因此您必须在构建之后执行此操作。
通常,您每周都会为 Fortify 扫描进行单独的构建。它进行调试构建并将工件上传到 Fortify on Demand。 FoD 需要一些时间才能完成扫描,特别是当您让其工作人员检查扫描并消除误报(手动检查)时。误报仍然会出现,因为他们不知道您的应用程序的上下文。
请注意,在进行自动扫描之前,FoD 需要手动扫描。如果您尝试在不先进行手动扫描的情况下进行自动扫描,您将收到有关权利的神秘错误。
您可以通过为该应用程序提供 2 个版本来进行设置。首先进行手动发布,这是通过在 Debug模式下构建并压缩整个目录来完成的。您手动开始扫描,上传 zip 文件。
完成后,您将创建第二个版本,即自动扫描。您将手动扫描的结果导入到自动扫描中。从那时起,Azure 插件应该用于自动扫描,直到您的订阅结束 - 那时您必须在续订权利后进行手动扫描以使一切再次正常工作。如果他们解决了这个问题就好了...
关于azure-devops - 在 Azure Devops 服务 (VSTS) 上强化 OnDemand,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/56541115/