【发布时间】:2017-03-16 13:55:22
【问题描述】:
Fortify Audit Workbench 是否有任何命令行选项可以让我将其放入 cron 作业并每天运行?
扫描需要两个多小时,我希望它运行一夜,然后在早上看到结果。
杰森
【问题讨论】:
标签: fortify
【发布时间】:2017-03-16 13:55:22
【问题描述】:
Audit Workbench 是底层 SCA 引擎的 GUI 前端 (sourceanalyzer)
如果您知道如何通过命令行扫描您的代码,您可以创建一个 Windows 批处理文件或 bash 脚本来执行它。
最难的部分是提出翻译命令。这将是特定于语言和项目的。
您的脚本至少应包含 3 个步骤
- 干净
- 翻译
- 扫描
还有第四个可选步骤将扫描结果上传到您的 SSC 实例。此步骤使用fortifyclient 命令。
参考资料:
sourceanalyzer -h- HPE Security Fortify Static Code Analyzer User Guide,提供扫描过程概述和示例,具体取决于语言和/或构建工具。
-
HPE Security Fortify Software Security Center Installation and Configuration Guide 第 10 章讨论了使用
fortifyclient工具与 SSC 通信。
如果没有任何进一步的信息,我们无法帮助您执行实际命令。
【讨论】:
sourceanalyzer 是命令行工具
我将它(作为 Windows 批处理文件)运行为
sourceanalyzer -b 1234 devenv "VsSolution.sln" /REBUILD release
【讨论】:
其他答案是正确的,但有一种更简单的方法。有一个扫描向导可以为您创建一个批处理脚本。你把它指向你的项目,回答一些问题,它就会创建一个脚本。选中一个框,它也会上传到 SSC。
扫描向导位于 /bin。它也可能位于“开始”菜单中,位于 Audit Workbench 旁边。
注意:有时我必须修改脚本。但是,如果您能够使用 Visual Studio 中的 Fortify 按钮进行扫描,则默认脚本通常可以工作。
【讨论】: