Fortify를 사용하여 특정 jar 파일과 연관된 Artifactory의 프로젝트 목록을 확인하십시오.

Question

.jar 파일의 다양한 버전을 가진 프로젝트가 여러 개 있으며 Artifactory입니다. 내가 .jar 파일의 특정 버전에서 취약점을 식별하는 데 Fortify 사용 방법

• 는 v1.2.1을 말한다.

이 외에도 몇 가지 최신 버전이있을 수 있습니다. v1.2.1 이후

• 어떻게 내부적으로 Fortify를 사용하여이 v1.2.1.jar 파일을 사용하는 프로젝트의 목록을 식별 Fortify의 도움과 취약점을 낳게 될 식별?

Answer 1

당신이 Build integrations 중 하나를 사용하는 경우 (즉,이 buildInfo을 생성) 중 하나를 수행 할 수 있습니다 1. BuildInfo의 JSON을 검색하고 또한, 당신이보고 here 걸릴 수 있습니다 (거기에서 프로젝트 종속성 목록을 추출, here 및 가장 좋은 옵션은 here입니다. 또는 2. Artifactory Query Language (AQL)를 사용하여 프로젝트에서 사용 된 종속성 목록 (빌드)을 가져옵니다.

p.s 나는 JFrog에서 일한다