Your browser is not supported

For the best experience, use Google Chrome or Mozilla Firefox.

Fortify for GitHub

サポートされる製品

Fortify on Demand Scan

Fortify on Demandで静的アプリケーションセキュリティテスト(SAST)をGitHubのワークフローに統合します。このGitHubアクションは、FoD Universal CI Toolとも呼ばれるFortify on Demand (FoD) Uploaderを設定し、以下を可能にします。

GitHub

Fortify on DemandからSARIFを生成

このGitHubアクションはFortify on Demand (FoD) APIを呼び出し、静的アプリケーションセキュリティテスト(SAST)の結果のSARIFログファイルを生成します。SARIFの出力は、その後GitHubにインポートする際に最適化され、Security Code Scanning Alertsに脆弱性を表示します。

Fortify ScanCentral Scan

Fortifyで静的アプリケーションセキュリティテスト(SAST)をGitHubのワークフローに統合します。このGitHubアクションは、Fortify ScanCentralクライアントを設定し、以下を可能にします。

  • Fortify ScanCentral Clientの指定されたバージョンのzipファイルをダウンロード、抽出、キャッシュ
  • Fortify ScanCentral Clientのbin-directoryをパスに追加

以下は、このGitHub Actionの最も一般的なユースケースです。

Fortify Software Security Center (SSC)によるSARIFの生成

このGitHubアクションはFortify Software Security Center (SSC) APIを呼び出し、静的アプリケーションセキュリティテスト(SAST)の結果のSARIFログファイルを生成します。SARIFの出力は、その後GitHubにインポートする際に最適化され、Security Code Scanning Alertsに脆弱性を表示します。

このアクションは主に、Fortify SCAまたはScanCentral SASTスキャンの完了後に使用します。

Fortifyプロフェッショナルサービスによって開発されたFortify関連のプロジェクト

以下が含まれます。

  • FortifyBugTrackerUtility – FoDおよびSSCの脆弱性を外部システムに自動的に送信
  • FortifySyncFoDToSSC – FoDのリリースとスキャン結果をSSCに同期するユーティリティ
  • fortify-integration-maven-webinspect – WebInspect Mavenプラグイン
  • fortify-ssc-parser-owasp-dependency-check – OWASP依存関係チェックの結果を得るためのFortify SSC Parserプラグイン
  • fortify-ssc-parser-tenable-io-cs – Tenable.ioコンテナセキュリティの結果を得るためのFortify SSC Parserプラグイン
  • fortify-ssc-parser-burp – Burp Suite用SSC Parserプラグイン
  • インストール

GitHubについて

GitHubは、開発者がコードのホストとレビュー、プロジェクトの管理、ソフトウェアの構築に使用する開発プラットフォームです。

インテグレーションのページを見る
github

その他のリソース

Fortifyホームページ
Fortifyインテグレーションエコシステム
Fortify Unplugged YouTubeチャンネル
Fortifyコミュニティ
AppSecブログ
GartnerアプリケーションセキュリティテストのMagic Quadrant
Gartnerクリティカルケイパビリティ - 企業部門でFortifyが最高評価
DebrickedでサポートされるCI/ビルドシステム
Debricked GitHubアプリ
release-rel-2024-3-1-9400 | Thu Mar 14 23:51:15 PDT 2024
9400
release/rel-2024-3-1-9400
Thu Mar 14 23:51:15 PDT 2024
AWS