Недавно наша команда выбрала fortify sca для сканирования наших проектов. Наши проекты имеют два типа JavaEE(без EJB) и Android.
И мы хотим добавить шаг сканирования в шаги CI. Поэтому я добавляю такие сценарии для сканирования после того, как jenkins создаст проект.
sourceanalyzer -b manage_dev -clean
sourceanalyzer -b manage_dev -jdk 1.6 -encoding UTF-8 "src/."
sourceanalyzer -b manage_dev -Xmx4000M -scan -f manage_dev_report.fpr
ReportGenerator -format pdf -f manage_dev_report.pdf -source manage_dev_report.fpr
Однако я не знаю, как установить параметр -cp(classpath) из-за того, что мы используем инструмент сборки, библиотеки зависимостей не находятся внутри нашего исходного кода.
Я знаю, что есть какой-то плагин maven и gradle для укрепления. Но мы не хотим менять наши скрипты сборки.
Спасибо за вашу помощь.
Пс. Мы используем HP_Fortify_SCA_and_Apps_4.20 и новейшую версию jenkins.