尊敬的stackoverflow用户和开发人员,
我浏览了Fortify:在搜索问题的解决方案时,如何使用强化rest api在项目下获得问题(vulnarability(列表。但这并没有帮助,而是解决了不同的方面。
需求:每次扫描后,我都要在我的开发管道中自动查询Fortify API(或CLI(,以获取问题列表(漏洞(,如果发现任何问题,则生成失败。
问题:Fortify API接受令牌,该令牌将在24小时内过期。为了生成令牌,我需要用户凭据。如果我想从我的邮递员或控制台查询API,可以手动登录并生成令牌。。。但我想扫描连接到我的CI/CD工具的每一个代码更改,如果发现了什么,就破坏构建。
- 我无法存储我的用户凭据并在管道中使用它们,因为这是不合适的
- 我不能有一个服务帐户或任何东西,这是一个非真实用户登录或访问API
- 没有永久令牌的选项
你对如何解决这个问题有什么建议?
我最近也遇到了这个问题,我们所做的是生成一个一年后到期的CIToken。以下是令牌类型描述:
"此多用途令牌规范旨在与Fortify连续集成插件一起使用,该插件在构建过程中自动将FPR上传到软件安全中心,并下载正在构建的应用程序版本的漏洞统计信息">
不是永久性代币,但优于24小时到期代币。