Gitlab持续集成中的Checkmarx集成
是否可以将Checkmarx静态应用程序安全测试(SAST)工具集成到Gitlab持续集成(CI)管道中以进行静态安全扫描?
回答 3
Stack Overflow用户
发布于 2017-12-08 00:17:08
我一直在使用带有TeamCity的Checkmarx和带有插件的Jenkins pipeline。然而,对于GitLab管道,我们需要使用REST API/ CLI。我更喜欢使用CLI而不是REST API,因为CLI提供了更多可用于管道决策的功能。
你可以查看他们的Wiki- https://checkmarx.atlassian.net/wiki/spaces/KC/pages/5767170/CxSAST+API+Guide https://checkmarx.atlassian.net/wiki/spaces/KC/pages/52560015/CxConsole+CxSAST+CLI
您可以随时为Checkmarx推荐的方法提供支持。
Stack Overflow用户
发布于 2020-08-25 19:23:07
目前,还没有,Checkmarx没有专门的GitLab集成插件,但他们有很好的文章如何启用和配置集成:
https://checkmarx.atlassian.net/wiki/spaces/SD/pages/1929937052/GitLab+Integration
Stack Overflow用户
发布于 2020-09-26 16:19:16
我选择了自由风格,而不是去jenkins的管道工作。下面是我在没有checkmarx插件的情况下进行配置的方法。
首先使用以下命令生成令牌: runCxConsole.cmd GenerateToken -v -CxUser username -CxPassword admin -CxServer http://localhost
Build --> Execute Shell中代码行下面的配置
Jenkins Script
#!/bin/bash
export JAVA_HOME=/usr/bin/java
export CHECKMARX_HOME=/<checkmarx plugin path>/CxConsolePlugin-8.90.2
echo ${WORKSPACE}
echo $CX_PROJECT_NAME
mkdir ${WORKSPACE}/cxReports
export CHECKMARX_REPORTS_HOME=${WORKSPACE}/cxReports
echo $CHECKMARX_REPORTS_HOME
$CHECKMARX_HOME/runCxConsole.sh Scan -v -CxServer <checkmarx server details> -ProjectName "<project anme>" -cxToken <token> -locationtype folder -locationpath "${WORKSPACE}" -preset "Default Checkamrx" -reportcsv $CHECKMARX_REPORTS_HOME/$CX_PROJECT_NAME.csv -ReportPDF $CHECKMARX_REPORTS_HOME/$CX_PROJECT_NAME.pdf注意:始终使用令牌进行服务器身份验证,而不是在CLI命令中对用户名和密码进行硬编码。
有关更多信息,请访问https://checkmarx.atlassian.net/wiki/spaces/SD/pages/222232891/Authentication+Login+to+the+CLI https://checkmarx.atlassian.net/wiki/spaces/SD/pages/1929937052/GitLab+Integration
https://stackoverflow.com/questions/45737060
复制相似问题
腾讯云开发者
