Fortify和Jenkins集成

这是 Fortify Static Code Analyzer （SCA） 和 Fortify Software Security Center （SSC） 的官方 Jenkins 插件。

该插件增加了使用 Micro Focus Fortify 静态代码分析器执行安全分析、将结果上传到 Micro Focus Fortify SSC、显示分析结果摘要以及根据分析结果设置构建失败标准的功能。

总结

在持续集成构建中使用 Fortify Jenkins 插件，通过 Fortify 静态代码分析器识别源代码中的安全问题。Fortify 静态代码分析器分析完成后，您可以将结果上传到 Fortify 软件安全中心服务器。Fortify Jenkins 插件还使您能够在 Jenkins 中查看分析结果详细信息。它提供了每个构建的指标和结果的概述，而无需您登录 Fortify 软件安全中心。

文档

您可以在此处找到官方插件文档：https://www.microfocus.com/documentation/fortify-jenkins-plugin/

有关 Fortify SCA 的更多信息，请访问 https://www.microfocus.com/cyberres/application-security/static-code-analyzer。

有关Fortify SSC的更多信息，请访问 https://www.microfocus.com/cyberres/application-security/software-security-center。

特征

• 提供构建后操作，以使用 Fortify 静态代码分析器分析源代码、更新安全内容、使用 Fortify ScanCentral SAST 进行远程分析、将分析结果上传到 Fortify 软件安全中心，并根据 Fortify 软件安全中心处理的上传结果将构建状态设置为不稳定
• 使用 Fortify 静态代码分析器在本地和 Fortify ScanCentral SAST 远程为源代码分析提供管道支持，更新安全内容并将分析结果上传到 Fortify 软件安全中心
• 显示使用 Fortify 静态代码分析器在本地分析的每个作业的分析结果，其中包括 Fortify 软件安全中心的历史趋势和最新问题，以及导航到 Fortify 软件安全中心上的各个问题以进行详细分析

视频教程

【视频】Fortify与Jenkins集成

设置

这组说明介绍如何配置插件以运行本地 Fortify 静态代码分析器扫描，将分析结果上传到软件安全中心，然后在 Jenkins 中查看分析结果。您还可以使用 ScanCentral SAST 运行分析。有关说明，请参阅完整文档。

1. 创建 CIToken 类型的身份验证令牌。登录 Fortify 软件安全中心，单击“管理”选项卡，然后在左侧窗格中选择“令牌管理>用户”。单击“新建”创建 CIToken 类型的身份验证令牌，然后单击“保存”。复制对话框底部的解码令牌。
2. 在 Jenkins 中，安装 Fortify 插件。
3. 从“Jenkins”菜单中，选择“Jenkins”>“管理 Jenkins”>“配置系统”。要根据结果触发不稳定构建并在 Jenkins 中查看分析结果，您需要将本地运行的分析结果上传到 Fortify 软件安全中心。向下滚动到强化评估部分，然后执行以下操作：
   • 在“SSC URL”框中，键入“强化软件安全中心服务器 URL”。
   • 在“身份验证令牌”框下方，单击“添加> Jenkins”以打开“Jenkins 凭据提供程序”对话框，并添加类型为“强化连接令牌”的凭据。添加凭据的说明，并将在步骤 1 中创建的令牌值粘贴到“令牌”框中。
   • 要使用 Jenkins 中配置的代理设置连接到 Fortify 软件安全中心，请选择“使用 Jenkins 代理”。
   • 单击测试 SSC 连接。
4. 若要使用 Fortify 静态代码分析器分析项目或在生成过程中更新 Fortify 安全内容，请确保 Fortify 静态代码分析器位于系统 Path 环境变量中，或创建 Jenkins 环境变量以指定 Fortify 静态代码分析器可执行文件的位置。在“全局属性”中，创建以下环境变量：
   • 名字：FORTIFY_HOME
   • 值：<sca_install_dir>其中<sca_install_dir>是 Fortify 静态代码分析器的安装路径。例如，在 Windows 上，默认安装位置为 C：\Program Files\Fortify\Fortify_SCA_and_Apps_<version>。

从 Docker 运行 Jenkins 时的配置

在 Docker 容器中运行 Jenkins 时，<sca_install_dir>目录挂载到 Docker 容器，以便从 Docker 访问 Fortify Static Code Analyzer 可执行文件。以下命令是如何执行此操作的示例：

docker container run \
  -p 8080:8080 \
  -v /home/admin/Fortify/Fortify_SCA_and_Apps_22.1.0:/var/jenkins_home/Fortify/Fortify_SCA_and_Apps_22.1.0 \
  --name=jenkins \
  jenkins/jenkins -d

对于此示例，FORTIFY_HOME的值为 。/var/Jenkins_home/Fortify/Fortify_SCA_and_Apps_22.1.0

预览

图片

图片

图片

咨询

此插件的旧版本可能不安全使用。在使用早期版本之前，请查看以下警告：

• 以纯文本形式存储的凭据

关于苏州华克斯信息科技有限公司

联系方式：400-028-4008            0512-62382981

专业的测试及安全产品服务提供商

Fortify | Webinspect | AppScan | SonarQube | 极狐GitLab 

LoadRunner | UFT（QTP) | ALM（QC）

Micro Focus 铂金合作伙伴 | SonarQube中国总代理 

极狐GitLab铂金级合伙伴  | HCL中国合作伙伴