Your browser is not supported

For the best experience, use Google Chrome or Mozilla Firefox.

Fortify pour GitHub

Produits pris en charge

Analyse Fortify on Demand

Avec Fortify on Demand, intégrez vos tests SAST (Static Application Security Testing) dans votre workflow GitHub. Cette action de GitHub configure le chargeur Fortify on Demand (FoD), également appelé outil FoD Universal CI, et vous permet de :

GitHub

Générer les résultats au format SARIF depuis Fortify on Demand

Cette action de GitHub invoque l’API Fortify on Demand (FoD) pour générer un fichier journal SARIF contenant les résultats SAST (Static Application Security Testing). La sortie SARIF est optimisée pour l’importation suivante dans GitHub afin d’afficher les vulnérabilités dans les alertes d’analyse de la sécurité du code.

Analyse Fortify ScanCentral

Intégrez vos tests SAST (Static Application Security Testing) à vos workflows GitHub à l’aide de Fortify. Cette action de GitHub configure le client Fortify ScanCentral et vous permet de :

  • Télécharger, extraire et mettre en cache la version spécifiée du fichier compressé du client Fortify
  • Ajouter le répertoire bin du client Fortify ScanCentral au chemin

Voici les cas d’utilisation les plus courants pour cette action de GitHub :

  • Lancer une analyse SAST dans un environnement ScanCentral ; notez que le contrôleur de ScanCentral doit être accessible depuis le programme d’exécution de GitHub où s’exécute le workflow.
  • Lancer une analyse sur Fortify on Demand (FoD), en utilisant le client ScanCentral pour la mise en package uniquement
  • Installer
  • Vidéo : Intégrations Fortify CI partie 1 (GitHub, GitLab, Bamboo)

Générer les résultats au format SARIF depuis Fortify Software Security Center (SSC)

Cette action de GitHub invoque l’API Fortify Software Security Center (SSC) pour générer un fichier journal SARIF contenant les résultats SAST (Static Application Security Testing). La sortie SARIF est optimisée pour l’importation suivante dans GitHub afin d’afficher les vulnérabilités dans les alertes d’analyse de la sécurité du code.

Cette opération est principalement utilisée après la réalisation d’une analyse Fortify SCA ou ScanCentral SAST.

Projets Fortify développés par Fortify Professional Services

Incluent les éléments suivants :

  • FortifyBugTrackerUtility : soumission automatisée des vulnérabilités FoD et SSC aux systèmes externes
  • FortifySyncFoDToSSC : utilitaire permettant de synchroniser les versions FoD et les résultats d’analyse avec SSC
  • fortify-integration-maven-webinspect : plug-in WebInspect Maven
  • fortify-ssc-parser-owasp-dependency-check : plug-in Fortify SSC Parser pour les résultats de la vérification de dépendance OWASP
  • fortify-ssc-parser-tenable-io-cs : plug-in Fortify SSC Parser pour les résultats de Tenable.io Container Security
  • fortify-ssc-parser-burp : plug-in Fortify SSC Parser pour BURP Suite
  • Installer

À propos de GitHub

GitHub est une plate-forme de développement utilisée par les développeurs pour héberger et réviser le code, gérer les projets et créer des logiciels.

Afficher la page Intégration
github

Ressources supplémentaires

Page d’accueil Fortify
Écosystème d’intégration Fortify
Chaîne YouTube Fortify Unplugged
Communauté Fortify
Blog sur l’AppSec
Magic Quadrant de Gartner pour Application Security Testing
Rapport Gartner sur les fonctions critiques : Fortify classé numéro 1 pour l’entreprise
Assistance Debricked pour les systèmes CI/Build
Application GitHub Debricked
release-rel-2024-3-1-9400 | Thu Mar 14 23:51:15 PDT 2024
9400
release/rel-2024-3-1-9400
Thu Mar 14 23:51:15 PDT 2024
AWS