在Azure Devops服务上加强OnDemand ( VSTS)

Question

我们计划用Azure DevOps服务实现CI/CD。需求中的关键之一是在构建管道中集成Fortify One。

我尝试将Fortify pipeline任务添加到构建管道中，它只需要很少的初步字段就可以填充。在开始之前需要一些建议。

1. 是否应该在构建之前或构建之后触发fortify任务。我们正在使用Fortify (SaaS)，着眼于加速建设。

任何帮助都将不胜感激。谢谢!

Answer 1

Fortify on Demand需要一个包含所有依赖项的调试构建来扫描代码，所以您必须在构建之后执行它。

通常，您将有一个单独的每周构建只为您的Fortify扫描。它进行调试构建，并根据需要上传工件到Fortify。FoD将需要一些时间来完成扫描，特别是如果您让他们的工作人员检查扫描并删除假阳性(手动检查)。假阳性仍然会通过，因为它们不知道您的应用程序的上下文。

请注意，在进行自动扫描之前，FoD需要手动扫描。如果您尝试进行自动扫描而不首先进行手动扫描，您将得到一个关于权利的神秘错误。

您可以通过为应用程序提供2个版本来设置它。首先进行手动发布，这是通过构建调试模式和压缩整个目录来完成的。你手动启动扫描，上传拉链。

完成后，您将创建第二个版本，即自动扫描。将手动扫描的结果导入到自动扫描中。从那时起，Azure插件应该可以用于自动扫描，直到您的订阅结束--那时，您必须在更新您的权利之后进行手动扫描，以使一切重新正常工作。如果他们能修好这个就好了..。