在 Azure Devops 服务 (VSTS) 上强化 OnDemand

【问题标题】:Fortify OnDemand on Azure Devops Services( VSTS)在 Azure Devops 服务 (VSTS) 上强化 OnDemand
【发布时间】:2019-06-11 09:55:50
【问题描述】:

我们计划通过 Azure DevOps 服务实施 CI/CD。需求中的关键之一是将 Fortify On Demand 集成到构建管道中。

我尝试将 Fortify On Demand SCA 任务添加到构建管道中,它只需要填写几个初步字段。在开始之前需要一些建议..

  1. 强化任务应该在构建之前还是之后触发 建造。我们正在使用 Fortify On Demand (SaaS),着眼于加速构建。

任何帮助将不胜感激。谢谢!

【问题讨论】:

  • 您在一个问题中提出 2 个问题。请具体,或将此问题分成 2 个单独的问题..
  • Eriawan - 合并问题。

标签: azure-devops azure-pipelines azure-pipelines-build-task fortify


【解决方案1】:

Fortify on Demand 需要包含所有依赖项的调试构建来扫描代码,因此您必须在构建之后进行。

通常情况下,您将每周单独构建一次仅用于 Fortify 扫描。它进行调试构建并将工件上传到 Fortify on Demand。 FoD 将需要一些时间来完成扫描,特别是如果您让他们的员工检查扫描并删除误报(手动检查)。误报仍然会通过,因为它们不知道您的应用程序的上下文。

请注意,在进行自动扫描之前,FoD 需要手动扫描。如果您尝试在不先进行手动扫描的情况下进行自动扫描,您将收到关于权利的神秘错误。

您通过为应用程序发布 2 个版本来进行设置。首先进行手动发布,这是通过在调试模式下构建并压缩整个目录来完成的。您手动开始扫描,上传 zip。

完成后,您将创建第二个版本,即自动扫描。您将手动扫描的结果导入自动扫描。从那时起,Azure 插件应该适用于自动扫描,直到您的订阅结束 - 那时您必须在续订权利后进行手动扫描,以使一切恢复正常。如果他们能解决这个问题就好了……

【讨论】:

  • TheGreatContini - 感谢您的宝贵建议。还要添加一个查询 - 如果 fortify 安全扫描在特定设置的标准上失败,则使整个构建周期失败是否是一种好习惯。这可行吗?
  • @Renji 这很难做到,你也不想做。这很难做到,因为扫描需要数天时间,并且插件不会收到有关扫描结果的反馈,因此唯一的方法是在构建作业中编写代码,无限期地查询 Fortify API。您不想这样做,因为有太多误报通过,而 Fortify 将所有事情都称为关键或高风险(现实远没有那么严重)。像 Contrast Security 这样的工具会更有希望,但 Fortify 绝对不会。
  • 再次感谢。我想我会在不添加构建失败过程的情况下继续进行,从时间消耗和实施过程中可能出现的问题来看。
猜你喜欢
  • 2022-07-18
  • 1970-01-01
  • 2019-07-09
  • 2021-02-18
  • 1970-01-01
  • 2022-06-14
  • 2021-08-01
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode