【问题标题】:Fortify: How to automate getting issues (vulnerability) list under a project using Fortify API/CLI, to break my pipeline if there are vulnerabilitiesFortify:如何使用 Fortify API/CLI 自动获取项目下的问题(漏洞)列表,以在存在漏洞时破坏我的管道
【发布时间】:2021-01-01 08:58:09
【问题描述】:

尊敬的 stackoverflow 用户和 DevSecOps'ers,

我在寻找解决问题的方法时遇到了Fortify: How to get issue(vulnarability) list under a project using fortify rest api。但它并没有帮助并解决不同的方面。

愿望:我想在每次扫描执行后在我的开发管道中自动查询 Fortify API(或 CLI)以获取问题列表(漏洞)并在发现任何问题时失败构建。

问题: Fortify API 接受令牌,假设 24 小时后过期。为了生成令牌,我需要用户凭据。如果我想从我的邮递员或控制台查询 API,可以手动登录并生成令牌……但我想扫描与我的 CI/CD 工具挂钩的每个代码更改,如果发现了什么 - 打破构建。

  • 我无法存储我的用户凭据并在管道中使用它们,因为这是不合适的。
  • 我不能拥有服务帐户或任何东西,即非真实用户登录或访问 API
  • 没有永久令牌的选项

你对如何解决这个问题有什么建议?

【问题讨论】:

    标签: security continuous-integration pipeline fortify microfocus


    【解决方案1】:

    我最近也遇到了这个问题,我们所做的是生成一个一年后到期的 CIToken。以下是令牌类型说明:

    “此多用途令牌规范旨在与 Fortify 持续集成插件一起使用,该插件会在构建过程中自动将 FPR 上传到软件安全中心,并下载正在构建的应用程序版本的漏洞统计信息。”

    不是永久令牌,但优于 24 小时到期令牌。

    【讨论】:

      猜你喜欢
      • 2020-04-05
      • 2023-03-27
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2021-12-21
      • 2017-05-12
      • 1970-01-01
      • 2020-01-15
      相关资源
      最近更新 更多