有人用命令行运行过fortify吗? 我尝试将 fortify run 合并到我的 CI 构建中,但我不知道该怎么做。
最佳答案
由于我无法添加评论,所以我必须提供这个作为答案。我们公司已将扫描过程集成到我们的 TFS 构建环境中,并且运行良好。
我们使用一系列“Invoke Process”构建事件来实现这一点。整个安全扫描序列包含在一个条件中,该条件作为构建定义的参数公开。这使我们能够根据需要启用或禁用扫描。我们还公开了一些其他内容,例如 Fortify Project、Fortify Project Version 和上传 FPR 文件的另一个条件。
它的要点是这样的:
清洁
sourceanalyzer -b "Build ID"-clean
构建
sourceanalyzer -b "Build ID"devenv BuildID.sln/Rebuild Debug/out "C:\SSCLogs\SSCBuild.log"
扫描
sourceanalyzer -b "Build ID"-scan -format fpr -f BuildID.fpr
上传到 SSC
fortifyclient.bat -url SSCServerUrl -authtoken XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX uploadFPR -文件 BuildID.fpr -project "MyProject"-version "MyProject v1.0.0"
如果您想要完整的摘要和/或一些屏幕截图,我很乐意为您提供一些东西。
关于c# - 强化命令行用法,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3925173/