强化命令行使用

由于我无法添加评论，我将不得不提供此答案。 我们公司已将扫描过程集成到我们的TFS构建环境中，并且运行良好。

我们使用一系列“调用过程”构建活动来实现这一目标。 整个安全扫描序列包含在条件中，该条件作为构建定义的参数公开。 这允许我们根据需要启用或禁用扫描。 我们还公开了一些其他的东西，比如Fortify Project，Fortify Project Version，以及另一个上传FPR文件的条件。

它的要点是这样的：

清洁

sourceanalyzer -b "Build ID" -clean

建立

sourceanalyzer -b "Build ID" devenv BuildID.sln /Rebuild Debug /out "C:\SSCLogs\SSCBuild.log"

扫描

sourceanalyzer -b "Build ID" -scan -format fpr -f BuildID.fpr

上传到SSC

fortifyclient.bat -url SSCServerUrl -authtoken XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX uploadFPR -file BuildID.fpr -project "MyProject" -version "MyProject v1.0.0"

如果你想要一个完整的纲要和/或一些屏幕截图，我很乐意为你提供一些东西。

典型扫描的命令看起来像这样。

1. 使用构建代码

sourceanalyzer -b

2. 扫描构建

sourceanalyzer -b -scan -f .fpr

3. （如果您使用的是360服务器）将结果上传到fortify服务器

fortifyclient uploadFPR -f .fpr -project -version -urlhttps://fortify.com/f360 -user -password ///

但是，我请求构建标签的帮助。 当我们调用SCA时，我们可以为其分配构建标签。 但是我不确定为命令提供什么选项。

sourceanalyzer -b testid codebase -build-label

如果有人知道格式，请告诉我。

Fortify有一个静态代码分析工具sourceanalyzer 。 此工具基于命令行，因此应该可以集成到CI系统中。

如上所述，您可以使用帮助选项或查看文档/用户指南（名称：HP Fortify静态代码分析器用户指南），其中涵盖了许多语言和选项。

您可能需要考虑的一点是在CI方案中执行此类扫描的速度和资源利用率。 您可能需要考虑在夜间或非高峰时段运行此操作。 该文档指出该工具使用了相当数量的内存。

您可能还需要弄清楚如何处理sourceanalyzer工具生成的输出fpr文件。 例如，您可以将其设置为Team City中的工件，并将其手动上载到Fortify服务器或与Fortify工作台产品一起使用。 我想你也可以想象并自动上传到Fortify服务器。

如果您在帮助文本中没有看到相应的构建命令，请告诉我们。 99％的现实世界调用都在那里。

根据您尝试构建的源代码类型，有许多不同的命令行开关和技术可供使用。

我建议您首先获取SCA用户指南。 这是一份PDF文档，您可以从为其提供Fortify安装程序的人员处获得该文档。

这里非常好的答案，我想补充一点，您可以在扫描时添加日志记录，这非常有用。

扫描记录

sourceanalyzer -b“构建ID”-scan -format fpr -f BuildID.fpr -debug -verbose -logfile“C：\ logfile.txt”