強化スキャンでエラーが報告された場合、Mavenビルドに失敗する可能性があります

Question

私はMavenプロジェクトを持っています。私はFortifyスキャンを実行してpdfレポートを生成しました。私は今、これをMavenビルドの一部として統合しようとしており、依存関係がその仕事をしなければならないので、適切なjarを追加することを前提としています。

私の質問は、

1. それは、すべてのコードが細かい場合でも、ビルドを失敗させることができる が、Fortifyには、エラーを発生報告していますか？
2. 「はい」の場合は、たとえば、 高および重大エラーだけでビルドが失敗するように指定し、低および中ではないように指定します。

Answer 1

Maven Enforcerを使用すると、レポートが生成されなかったときにビルドに失敗したり、別のEnforcer rulesを使用することができます。

例えば、このようないくつかのものは、失敗するときにphaseとRulesを設定できます。

<plugin> 
    <groupId>org.apache.maven.plugins</groupId> 
    <artifactId>maven-enforcer-plugin</artifactId> 
    <executions> 
     <execution> 
     <id>enforce-fortify-reports</id> 
     <phase>verify</phase> 
     <goals> 
      <goal>enforce-once</goal> 
     </goals> 
     <configuration> 
      <rules> 
      <requireFilesExist> 
        <files> 
        <file>${project.build.outputDirectory}/report.frp</file> 
        </files> 
       </requireFilesExist> 
      </rules> 
      <fail>true</fail> 
     </configuration> 
     </execution> 
    </executions> 
    </plugin> 

Answer 2

（未完全なソリューションが、ヒント）

あなたは、あなたが解析するのMavenやAntのを使用することができ、エラーや問題の数を確認するためにFPRUtility（SCAの一部）を使用することができますビルドに失敗します。

# fprutility -information -project project.fpr -errors 
[10002] Unable to parse T-SQL at tables.sql:612:3. 
[10002] Unable to parse T-SQL at update.sql:72:27. 

# fprutility -information -project project.fpr -search -query "[fortify priority order]:high OR [fortify priority order]:critical" 
565 issues of 796 matched search query. 

EDIT：

注：あなたが問題を監査するためにSSCを使用する場合は、最初に生成.fprファイルをアップロード例えば抑制の問題を除外するためにマージされた結果を確認する必要があります。