Fortify:如何使用Fortify API/CLI自动获取项目下的问题(漏洞)列表，以便在存在漏洞的情况下中断管道

Question

亲爱的堆栈溢出用户和DevSecOps‘’ers，

在寻找解决问题的方法时，我浏览了Fortify: How to get issue(vulnarability) list under a project using fortify rest api。但它没有帮助和解决不同的方面。

愿望:我希望在每次扫描之后，在我的开发管道中自动查询Fortify API (或CLI)，以获得问题列表(漏洞)，并在发现任何问题时失败构建。

问题： Fortify API接受令牌，该令牌在24小时内到期。为了生成令牌，我需要用户凭据。如果我想从我的邮递员或控制台查询API，可以手动登录并生成令牌.但是我想要扫描连接到我的CI/CD工具上的每一个代码更改，如果发现了什么--破坏构建。

我不能存储我的用户凭据并在管道中使用它们，因为inappropriate.

• I不能有服务帐户或任何东西，即非真实用户登录或访问API

• 没有永久令牌

的选项。

你对如何解决这个问题有什么建议？

Answer 1

我最近也遇到了这个问题，我们所做的就是生成一个在一年内到期的CIToken。以下是令牌类型描述：

此多用途令牌规范设计用于Fortify连续集成插件，该插件自动将FPR上传到软件安全中心，作为构建过程的一部分，并下载正在构建的应用程序版本的漏洞统计信息。“

不是永久的令牌，但比24小时的过期令牌好。