[Linux] 在 Docker 中安裝 HP Fortify 程式碼掃瞄工具

[Linux] 在 Docker 中安裝 HP Fortify 程式碼掃瞄工具

最近公司換了新的 code scan tool,從 Klocwork 換成了 HP Fortify

老實說,以前 Klocwork 不是很好用,

比較討厭的是已經加入例外清單 (不要掃瞄) 的目錄,有時候又被掃到。

不過至少 Klocwork 掃到的東西通常比較有正確性…

 

而 HP Fortify… 不曉得是規則太鬆管太寬還是怎樣,

變數命名成 password、passwd 就列個警告說有洩露密碼的可能…

呃… 變數要拿來存密碼的,不命名成 password,

是要命名成 iDontKnowWhatTheHellThisVariableIsAbout 這樣沒人看的懂嗎?

天氣已經夠熱,還看到這種掃瞄結果,真的會讓人爆血管…

 

抱怨完畢,還是得來記錄一下安裝 Fortify 的過程…

我的編譯環境是 Docker 裡的 CentOS 7,之前在 Dockerfile 裡就有許多指令了,

現在在最下面加入了這幾行指令:

RUN yum -y install rpm-build
COPY HPE_Security_Fortify_SCA_and_Apps_17.10_linux_x64.run fortify.license /Dev/
RUN /Dev/HPE_Security_Fortify_SCA_and_Apps_17.10_linux_x64.run --mode unattended
RUN /opt/HPE_Security/Fortify_SCA_and_Apps_17.10/bin/fortifyupdate

 

基本上 Fortify 安裝時需要用到 rpm-build 這個套件,因此要先安裝。

接著把主安裝程式 HPE_Security_Fortify_SCA_and_Apps_17.10_linux_x64.run,

以及授權檔案 fortify.license 從本機工作目錄複製到 Docker image 裡面,

接著使用 –mode unattended 參數,讓主安裝程式不要問問題,完成安裝。

最後再執行 fortifyupdate 更新一下掃瞄規則~

 

安裝好 HP Fortify 之後,安裝程式應該會把 Fortify 的 bin 目錄加到 $PATH 環境變數中,

所以可以隨時執行 sourceanalyzer 執行 Fortify scan 囉~

 

參考資料:

How to do a silent install or text-based install of HP Fortify SCA

 

(本頁面已被瀏覽過 449 次)

發表迴響

你的電子郵件位址並不會被公開。

這個網站採用 Akismet 服務減少垃圾留言。進一步瞭解 Akismet 如何處理網站訪客的留言資料