0

亲爱的 stackoverflow 用户和 DevSecOps'ers,

我遇到了Fortify: How to get issue(vulnarability) list under a project using fortify rest api同时寻找我的问题的解决方案。但它没有帮助并解决不同的方面。

愿望:我想在每次扫描执行后在我的开发管道中自动查询 Fortify API(或 CLI)以获取问题列表(漏洞)并在发现任何问题时失败构建。

问题: Fortify API 接受令牌,假设 24 小时后过期。为了生成令牌,我需要用户凭据。如果我想从我的邮递员或控制台查询 API,可以手动登录并生成令牌……但我想扫描与我的 CI/CD 工具挂钩的每个代码更改,如果发现了什么 - 打破建造。

  • 我无法存储我的用户凭据并在管道中使用它们,因为这是不合适的。
  • 我不能有服务帐户或任何东西,即非真实用户登录或访问 API
  • 没有永久令牌的选项

你对如何解决这个问题有什么建议?

4

1 回答 1

1

我最近也遇到了这个问题,我们所做的是生成一个一年后到期的 CIToken。以下是令牌类型说明:

“这种多用途令牌规范旨在与 Fortify 持续集成插件一起使用,该插件会在构建过程中自动将 FPR 上传到软件安全中心,并下载正在构建的应用程序版本的漏洞统计信息。”

不是永久令牌,但优于 24 小时到期令牌。

于 2021-05-14T15:46:53.777 回答