Fortify Integrations – GitHub

Produtos compatíveis

Verificação do Fortify on Demand

Integre seu Static Application Security Testing (SAST) ao seu fluxo de trabalho no GitHub com o Fortify on Demand. Esta ação no GitHub configura o aplicativo carregador do Fortify on Demand (FoD) – também conhecido como ferramenta de CI universal FoD, permitindo:

Baixar e armazenar em cache a versão especificada do arquivo JAR do carregador do Fortify on Demand
Adicionar a variável de ambiente FOD_UPLOAD_JAR contendo o caminho completo para o arquivo JAR do carregador do Fortify on Demand
Instalação
Vídeo – Integração do Fortify SAST em um pipeline do GitHub
Vídeo: Integrações do Fortify CI parte 1 (GitHub, GitLab, Bamboo)

Gerar SARIF a partir do Fortify on Demand

Esta ação do GitHub chama a API do Fortify on Demand (FoD) para gerar um arquivo de log SARIF com os resultados do Static Application Security Testing (SAST). A saída SARIF é otimizada para subsequentemente ser importada no GitHub e exibir vulnerabilidades nos alertas de verificação de código de segurança.

Instalação

Fortify ScanCentral Scan

Integre o Static Application Security Testing (SAST) ao seu fluxo de trabalho no GitHub com o Fortify. Esta ação no GitHub configura o Fortify ScanCentral Client, permitindo:

Baixar, extrair e armazenar em cache a versão especificada do arquivo zip do Fortify ScanCentral Client
Adiciona o diretório bin do Fortify ScanCentral Client ao caminho

Estes são os casos de uso mais comuns para esta ação do GitHub:

Inicie uma verificação SAST em um ambiente ScanCentral; observe que o ScanCentral Controller deve ser acessível a partir do GitHub Runner onde o fluxo de trabalho está sendo executado.
Inicie uma varredura no Fortify on Demand (FoD), utilizando o ScanCentral Client apenas para empacotamento;
Instalação
Vídeo: Integrações do Fortify CI parte 1 (GitHub, GitLab, Bamboo)

Faça a geração do SARIF a partir do Fortify Software Security Center (SSC)

Esta ação do GitHub chama a API Fortify Software Security Center (SSC) para gerar um arquivo de log SARIF dos resultados do Static Application Security Testing (SAST). A saída SARIF é otimizada para subsequentemente ser importada no GitHub e exibir vulnerabilidades nos alertas de verificação de código de segurança.

O principal caso de uso dessa ação é após a conclusão de uma varredura Fortify SCA ou ScanCentral SAST.

Instalação

Projetos relacionados ao Fortify desenvolvidos pelo Fortify Professional Services

Incluem o seguinte:

FortifyBugTrackerUtility – Envio automatizado de vulnerabilidades do FoD e SSC para sistemas externos
FortifySyncFoDToSSC – Utilitário para sincronizar versões do FoD e verificar resultados para SSC
fortify-integration-maven-webinspect – Plug-in WebInspect Maven
fortify-ssc-parser-owasp-dependency-check – Plug-in Fortify SSC Parser para resultados do OWASP Dependency Check
fortify-ssc-parser-tenable-io-cs – Plug-in Fortify SSC Parser para resultados do Tenable.io Container Security
fortify-ssc-parser-burp – Plug-in Fortify SSC Parser para BURP Suite
Instalação

Sobre o GitHub

O GitHub é uma plataforma de desenvolvimento usada por desenvolvedores para hospedar e revisar códigos, gerenciar projetos e criar softwares.

Visite a página de integração

Your browser is not supported

OpenText Cloud

Fortify for GitHub