Fortify - 如何扫描 Maven 项目的特定版本？

Question

我们正在对客户的其中一个代码进行源代码审查。该项目使用 Maven。整个项目包含大约 1000 个模块。

假设项目名称为Project X，Project X 中的模块依次命名为Module 1、Module 2，依此类推，直到Module 1000。

如果我想扫描整个项目，我只需进入Project X's 目录并运行mvn sca:translate 和mvn sca:scan 即可扫描整个项目。 如果我只想扫描Module 1，我进入Module 1's 目录并运行命令并扫描Module 1。

我的问题是，是否可以只扫描一组模块，比如Module 1、Module 2，等等，直到Module 100，只需最少的配置和人力？我们不想扫描整个项目，我们只想扫描一堆模块。

下面是项目的大概目录结构。

Project X              
|                      
+-------->Module 1     
|         +            
|         +----src     
|         |            
|         +----test    
|         |            
|         +----pom.xml 
|                      
|                      
+-------->Module 2     
|         |            
|         +----+src    
|         |            
|         +----+test   
|         |            
|         +----+pom.xml
|                                           
+--------->pom.xml     
+                      

PS：我们正在使用Fortify Maven Plugin 进行扫描。 谢谢。

Answer 1

您可以将 maven translate 命令传递给相同的 Fortify 构建 ID，然后扫描该构建 ID。如：

cd module 1
sourceanalyzer -b mybuild mvn sca:translate
cd to module2
sourceanalyzer -b mybuild mvn sca:translate
sourceanalyzer -b mybuild -scan -f output.fpr

它从模块 1 中获取翻译后的代码，然后从模块 2 中获取翻译后的代码，然后将它们放入一个名为 mybuild 的 Fortify 构建 ID 中。然后，您对“mybuild”构建 ID 运行扫描，它会扫描模块 1 和模块 2 中的代码。

您也可以尝试将 Fortify 问题发布到他们的在线论坛https://protect724.hp.com。支持小组监控这些论坛。