我在 Nexus 的发布存储库中有一个可用的二进制工件。我们需要将这些工件从 Nexus 上传到 Veracode 以进行静态代码分析。
那么,无论有没有 Maven,将构建工件从 Nexus 存储库上传到 Veracode 的最佳(或任何合理)方法是什么?“bash + curl”会很棒,甚至是 Python 脚本。?
Maven 存储库中的所有工件都可以通过正常的 HTTP 请求下载。因此,包括 bash + curl 或 wget 在内的任何脚本语言都可以正常工作。这包括 Python 和任何其他支持 HTTP 的语言(基本上任何语言)。
最好的解决方案在很大程度上取决于您所熟悉的内容以及与 Veracode 配合使用的内容。请记住,静态代码分析可能必须使用源工件而不是二进制输出。
您可能还想查看从Nexus Lifecycle、Nexus Auditor或Nexus Firewall获得的二进制组件分析方面的信息。
目前 Veracode 没有专用的、预构建的 Nexus 插件。但是,如果您有 Veracode 登录名,则可以下载我们的 API 指南以及 Java 库,以帮助您从我们的帮助中心开始。根据语言和工件的构建方式,您应该能够利用 API 上传工件以进行扫描和检索结果,而无需访问源代码。
我们对您的用例感兴趣;如果您想进一步讨论,请随时亲自与我联系(tjarrett at veracode)。