Fortify-Integrationen – GitHub

Unterstützte Produkte

Fortify on Demand Scan

Integrieren Sie Ihr Static Application Security Testing (SAST) in Ihren GitHub-Workflow mit Fortify on Demand. Diese GitHub Action sorgt für die Einrichtung des Fortify on Demand (FoD)-Uploaders (auch FoD Universal CI Tool genannt), was Folgendes ermöglicht:

Herunterladen und Zwischenspeichern der spezifischen Version des Fortify on Demand-Uploaders (JAR-Datei)
Hinzufügen der FOD_UPLOAD_JAR-Umgebungsvariable mit dem vollständigen Pfad zur JAR-Datei des Fortify on Demand-Uploaders
Installieren
Video – Integrieren von Fortify SAST in eine GitHub-Pipeline
Video – Fortify-CI-Integrationen Teil 1 (GitHub, GitLab, Bamboo)

SARIF aus Fortify on Demand generieren

Diese GitHub Action ruft die Fortify on Demand (FoD)-API auf, um eine SARIF-Protokolldatei mit Static Application Security Testing (SAST)-Ergebnissen zu generieren. Die SARIF-Ausgabe wird für den nachfolgenden Import in GitHub so optimiert, dass Schwachstellen in den Security Code Scanning Alerts angezeigt werden.

Installieren

Fortify ScanCentral Scan

Integrieren Sie Static Application Security Testing (SAST) in Ihre GitHub-Workflows mit Fortify. Diese GitHub Action sorgt für die Einrichtung von Fortify ScanCentral Client, was Folgendes ermöglicht:

Herunterladen, Extrahieren und Zwischenspeichern der spezifischen ZIP-Dateiversion des Fortify on Demand-Uploaders
Hinzufügen des bin-Verzeichnisses von Fortify ScanCentral Client zum Pfad

Dies sind die häufigsten Anwendungsfälle für diese GitHub Action:

Starten eines SAST-Scans in einer ScanCentral-Umgebung; beachten Sie, dass der ScanCentral Controller über den GitHub Runner, auf dem der Workflow ausgeführt wird, verfügbar sein muss.
Starten eines Scans in Fortify on Demand (FoD), wobei ScanCentral Client nur für das Packaging verwendet wird.
Installieren
Video – Fortify-CI-Integrationen Teil 1 (GitHub, GitLab, Bamboo)

SARIF aus dem Fortify Software Security Center (SSC) generieren

Diese GitHub Action ruft das Fortify Software Security Center auf, um eine SARIF-Protokolldatei mit Static Application Security Testing (SAST)-Ergebnissen zu generieren. Die SARIF-Ausgabe wird für den nachfolgenden Import in GitHub so optimiert, dass Schwachstellen in den Security Code Scanning Alerts angezeigt werden.

Der primäre Anwendungsfall für diese Aktion ist nach Abschluss eines Scans von Fortify SCA bzw. von ScanCentral SAST.

Installieren

Fortify-bezogene Projekte, die von Fortify Professional Services entwickelt wurden

Dazu gehören:

FortifyBugTrackerUtility – automatisierte Übertragung von FOD- und SSC-Schwachstellen an externe Systeme
FortifySyncFoDToSSC – Dienstprogramm zur Synchronisierung von FOD-Versionen und Scanergebnissen mit SSC
fortify-integration-maven-webinspect – Maven-Plugin für WebInspect
fortify-ssc-parser-owasp-dependency-check – Parser-Plugin von Fortify SSC für Ergebnisse der OWASP-Überprüfung auf Abhängigkeiten
fortify-ssc-parser-tenable-io-cs – Parser Plugin von Fortify SSC für Ergebnisse über die Containersicherheit von Tenable.io
fortify-ssc-parser-burp – Parser-Plugin von Fortify SSC für BURP Suite
Installieren

Über GitHub

GitHub ist eine Entwicklungsplattform für Entwickler zum Hosten und Prüfen von Code, Verwalten von Projekten und Entwickeln von Software.

Integrationsseite anzeigen

Your browser is not supported

Fortify für GitHub