这是 Fortify Static Code Analyzer (SCA) 和 Fortify Software Security Center (SSC) 的 Jenkins 插件。
插件信息
该插件增加了使用 Micro Focus Fortify 静态代码分析器执行安全分析、将结果上传到 Micro Focus Fortify SSC、显示分析结果摘要以及根据分析结果设置构建失败标准的功能。
总结
在持续集成构建中使用 Fortify Jenkins 插件,通过 Fortify 静态代码分析器识别源代码中的安全问题。Fortify 静态代码分析器分析完成后,您可以将结果上传到 Fortify 软件安全中心服务器。Fortify Jenkins 插件还使您能够在 Jenkins 中查看分析结果详细信息。它提供了每个构建的指标和结果的概述,而无需您登录 Fortify 软件安全中心。
Fortify和Jenkins集成设置
这组说明介绍如何配置插件以运行本地 Fortify 静态代码分析器扫描,将分析结果上传到软件安全中心,然后在 Jenkins 中查看分析结果。您还可以使用 ScanCentral SAST 运行分析。有关说明,请参阅完整文档。
创建 CIToken 类型的身份验证令牌。登录 Fortify 软件安全中心,单击“管理”选项卡,然后在左侧窗格中选择“令牌管理>用户”。单击“新建”创建 CIToken 类型的身份验证令牌,然后单击“保存”。对话框底部的令牌。
在 Jenkins 中,安装 Fortify 插件。
从“Jenkins”菜单中,选择“Jenkins”>“管理 Jenkins”>“配置系统”。要根据结果触发不稳定构建并在 Jenkins 中查看分析结果,您需要将本地运行的分析结果上传到 Fortify 软件安全中心。向下滚动到强化评估部分,然后执行以下操作:
在“SSC URL”框中,键入“强化软件安全中心服务器 URL”。
在“身份验证令牌”框下方,单击“添加> Jenkins”以打开“Jenkins 凭据提供程序”对话框,并添加类型为“强化连接令牌”的凭据。添加凭据的说明,并将在步骤 1 中创建的令牌值粘贴到“令牌”框中。
要使用 Jenkins 中配置的代理设置连接到 Fortify 软件安全中心,请选择“使用 Jenkins 代理”。
单击测试 SSC 连接。
从 Docker 运行 Jenkins 时的配置
在 Docker 容器中运行 Jenkins 时,<sca_install_dir>目录挂载到 Docker 容器,以便从 Docker 访问 Fortify Static Code Analyzer 可执行文件。以下命令是如何执行此操作的示例:
docker container run
-p 8080:8080
-v /home/admin/Fortify/Fortify_SCA_and_Apps_22.1.0:/var/jenkins_home/Fortify/Fortify_SCA_and_Apps_22.1.0
--name=jenkins
jenkins/jenkins -d
对于此示例,FORTIFY_HOME的值为 。/var/Jenkins_home/Fortify/Fortify_SCA_and_Apps_22.1.0
预览
SonarQube升级指南SonarQube升级指南
迁移路径
跨多个非 LTS 版本的升级会自动处理。但是,如果迁移路径中有一个或多个 LTS 版本,则必须先迁移到每个中间 LTS,然后再迁移到目标版本,如下面的示例 3 所示。
升级到 LTS 版本时,应直接升级到其修补程序。这使您可以确保使用该补丁一切运行良好(请参阅下面的升级练习部分)。
您可以直接从蕞新的 LTS 版本升级到的非 LTS 版本。请参阅下面的示例 4。
如果要从 LTS 的早期修补程序版本迁移,则可以直接升级到下一个 LTS。您无需安装任何中间修补程序版本。
迁移路径示例:
示例 1 – 从 8.1 > 9.8,迁移路径为 8.1 > 8.9 LTS > 9.8
示例 2 – 从 9.6 > 9.9 LTS,迁移路径为 9.6 > 9.9 LTS
示例 3 – 从 7.9 LTS > 9.9 LTS,迁移路径为 7.9 LTS > 8.9 LTS > 9.9 LTS
示例 4 – 从 8.9LTS > 9.9 LTS,迁移路径为 8.9 LTS > 9.9 LTS