问题描述
尊敬的stackoverflow用户和DevSecOps的用户,
我在寻找问题的解决方案时遇到了Fortify: How to get issue(vulnarability) list under a project using fortify rest api。但这无济于事,并涉及到不同的方面。
需求:我想在执行每次扫描后自动在开发管道中查询Fortify API(或CLI)以获取问题列表(漏洞),如果发现任何问题,构建失败。
问题:Fortify API接受令牌,该令牌在24小时内到期。为了生成令牌,我需要用户凭据。如果我想从邮递员或控制台查询API,可以手动登录并生成令牌。但是我想扫描与我的CI / CD工具挂钩的每个代码更改,如果找到了,请破坏它。构建。
- 由于不合适,我无法存储我的用户凭证并在管道中使用它们。
- 我没有服务帐户或其他任何可以登录或访问API的非真实用户
- 没有永久令牌的选项
您如何解决此问题有什么建议?
解决方法
我最近也遇到了这个问题,我们所做的是生成一个一年后到期的 CIToken。这是令牌类型说明:
“此多用途令牌规范旨在与 Fortify 持续集成插件一起使用,这些插件在构建过程中自动将 FPR 上传到软件安全中心,并下载正在构建的应用程序版本的漏洞统计信息。”
不是永久令牌,但比 24 小时到期令牌更好。
设置时间 控制面板
错误1:Request method ‘DELETE‘ not supported 错误还原:...