コマンドラインを使用して fortify を実行した人はいますか? CI ビルドに fortify run を組み込もうとしていますが、方法がわかりません。
ベストアンサー1
コメントを追加できないので、これを回答として提供する必要があります。当社ではスキャン プロセスを TFS ビルド環境に統合しており、非常にうまく機能しています。
これを実現するために、一連の「プロセスの呼び出し」ビルド アクティビティを使用します。セキュリティ スキャン シーケンス全体は、ビルド定義の引数として公開される条件でラップされます。これにより、必要に応じてスキャンを有効または無効にすることができます。また、Fortify プロジェクト、Fortify プロジェクト バージョン、FPR ファイルをアップロードするための別の条件など、他のいくつかのものも公開します。
要点は次のとおりです。
クリーン
sourceanalyzer -b "Build ID" -clean
建てる
sourceanalyzer -b "Build ID" devenv BuildID.sln /Rebuild Debug /out "C:\SSCLogs\SSCBuild.log"
スキャン
sourceanalyzer -b "Build ID" -scan -format fpr -f BuildID.fpr
SSCにアップロード
fortifyclient.bat -url SSCServerUrl -authtoken XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX uploadFPR -file BuildID.fpr -project "MyProject" -version "MyProject v1.0.0"
完全な概要やスクリーン キャプチャが必要な場合は、喜んで提供いたします。