Усильте сканирование в Eclipse по сравнению с проектами maven

У меня есть плагин Eclipse для Fortify. Но он работает только в проектах Java.

У нас есть несколько проектов Java, но они основаны на Maven, а не на Java. Я могу отредактировать файл .project проектов и изменить их тип на Java, чтобы включить сканирование Fortify. Но есть ли лучший способ запустить сканирование Fortify в проектах на основе Maven?

EDIT Пришлось выполнить следующие шаги, как указано в некоторых сообщениях ниже.

  • Установите плагин Maven Fortify.
  • Добавлены сведения о плагине Maven fortify в моем приложении.
  • Выполнял команды перевода и сканирования. Генерирует файлы fpr под проекты
  • Подпишитесь и на этот полезный блог http://fortify-maven.blogspot.in/.

Единственный вопрос, который у меня все еще есть:

У меня есть несколько проектов, в которых создается файл fpr для каждого проекта. Могу ли я создать объединенный файл fpr для всех проектов в одном месте?

Привет, Саурав


eclipse maven fortify
person saurav    schedule 20.04.2015    source источник

Ответы (3)


arrow_upward
4
arrow_downward

У Fortify есть подключаемый модуль для Maven, который вы сможете использовать. Проверьте в этом каталоге:

<Fortify Installation Folder>\Samples\advanced\maven-plugin

Вы компилируете плагин в maven, а затем можете запускать команды перевода и сканирования из Maven. В этом каталоге есть пример кода, и документация компилируется при сборке плагина.

person Eric    schedule 20.04.2015
comment
Большое спасибо всем за ваши полезные комментарии... у меня есть одна проблема: эти проекты пришли ко мне для сканирования... поэтому я просто импортирую их в eclipse как существующие проекты maven. У меня нет локальной настройки репозитория m2 на моей локальной машине - person saurav; 21.04.2015
comment
Я начинающий пользователь Maven, но могу предположить, что когда вы используете Eclipse с Maven, он создает репо на основе POM. У него должны быть JAR-файлы для компиляции, поэтому они откуда-то берутся. Если вы отвечаете только за выполнение сканирования, я бы либо использовал плагин Maven для сканирования во время сборки, либо использовал Audit Work Bench. С помощью Audit Work Bench вы можете указать исходный каталог и просто выполнить сканирование. Возможно, вам придется найти некоторые файлы JAR, чтобы получить полное сканирование. - person Eric; 21.04.2015
comment
Спасибо, Эрик, за ответ... нужно ли компилировать код для выполнения сканирования? - person saurav; 21.04.2015
comment
Не для Явы. Вы можете просто указать SCA на исходный код при передаче пути к классу, и SCA просканирует его. - person Eric; 22.04.2015
comment
Использование плагина maven действительно потребует, чтобы maven построил проект. Ваш локальный .m2 будет создан, когда maven разрешит зависимости в файле pom. - person xelco52; 23.04.2015

arrow_upward
2
arrow_downward

Вы можете запустить пакет локально или интегрировать его как часть процесса сборки. На этапе перевода подключаемый модуль SCA Maven выполнит поиск файла jar в локальном репозитории и попытается разрешить классы в вашем приложении.

Следуйте приведенным ниже командам,

  1. mvn sca: чистый
  2. mvn sca:перевести
  3. mvn sca: сканирование
person Venu Kumar    schedule 20.04.2015

arrow_upward
0
arrow_downward

Когда мы запускали Static Code Analyzer (SCA) версии 6.21.0005 в сборке maven, сканирование выполнялось, но не загружалось в Fortify Software Security Center (SSC). Предыдущая успешная загрузка в SSC была произведена с рабочего стола Audit Work Bench с версией Scan Engine 6.21.0007. Мы предполагаем, что эта разница в младших версиях привела к сбою загрузки файлов FPR в производственный SSC. Когда мы изменили сценарий сборки, чтобы загрузить файл FPR в новый проект, загрузка сработала, что означает наличие ошибки на стороне HP, которую они подтвердили. Мы смогли найти обходной путь, создав новый проект, в котором FPR сгенерированы только из одного источника. Я рекомендую вам использовать один источник для вашего SCA или, по крайней мере, использовать один и тот же номер версии SCA, если вы должны использовать несколько источников сканирования.

person WaltHouser    schedule 20.04.2015