[Linux] 在 Docker 中安裝 HP Fortify 程式碼掃瞄工具
最近公司換了新的 code scan tool,從 Klocwork 換成了 HP Fortify~
老實說,以前 Klocwork 不是很好用,
比較討厭的是已經加入例外清單 (不要掃瞄) 的目錄,有時候又被掃到。
不過至少 Klocwork 掃到的東西通常比較有正確性…
而 HP Fortify… 不曉得是規則太鬆管太寬還是怎樣,
變數命名成 password、passwd 就列個警告說有洩露密碼的可能…
呃… 變數要拿來存密碼的,不命名成 password,
是要命名成 iDontKnowWhatTheHellThisVariableIsAbout 這樣沒人看的懂嗎?
天氣已經夠熱,還看到這種掃瞄結果,真的會讓人爆血管…
抱怨完畢,還是得來記錄一下安裝 Fortify 的過程…
我的編譯環境是 Docker 裡的 CentOS 7,之前在 Dockerfile 裡就有許多指令了,
現在在最下面加入了這幾行指令:
RUN yum -y install rpm-build COPY HPE_Security_Fortify_SCA_and_Apps_17.10_linux_x64.run fortify.license /Dev/ RUN /Dev/HPE_Security_Fortify_SCA_and_Apps_17.10_linux_x64.run --mode unattended RUN /opt/HPE_Security/Fortify_SCA_and_Apps_17.10/bin/fortifyupdate
基本上 Fortify 安裝時需要用到 rpm-build 這個套件,因此要先安裝。
接著把主安裝程式 HPE_Security_Fortify_SCA_and_Apps_17.10_linux_x64.run,
以及授權檔案 fortify.license 從本機工作目錄複製到 Docker image 裡面,
接著使用 –mode unattended 參數,讓主安裝程式不要問問題,完成安裝。
最後再執行 fortifyupdate 更新一下掃瞄規則~
安裝好 HP Fortify 之後,安裝程式應該會把 Fortify 的 bin 目錄加到 $PATH 環境變數中,
所以可以隨時執行 sourceanalyzer 執行 Fortify scan 囉~
參考資料:
How to do a silent install or text-based install of HP Fortify SCA
One thought on “[Linux] 在 Docker 中安裝 HP Fortify 程式碼掃瞄工具”
可以发我一下,完整的Dockerfile文件吗?