本文將介紹如何使用 Fortify SCA 搭配 Jenkins,建立一套自動化的安全掃描流程,讓程式碼在送出前就能完成弱點檢測,減少人工操作並提升整體專案的安全品質。
一、安全需要融入開發流程
現代 Web 與 App 系統的攻擊面持續擴大,傳統「上線後再掃描」的方式已無法滿足資安需求。特別是在企業導入敏捷開發與 CI / CD 後,程式碼版本更新頻繁,唯有讓安全檢測融入 Pipeline 中,才能確保每一次交付都符合安全標準。
Fortify SCA 作為靜態程式碼分析工具,擅長在開發早期找出弱點,而 Jenkins 又是 CI / CD 最常用的自動化工具。兩者結合後,即可打造一條「程式碼提交 → 自動掃描 → 產生報告 → 上傳 SSC」的完整流程。
二、Fortify SCA 的能力簡介
Fortify SCA 支援 30 種以上程式語言,包含前端、後端與資料庫相關語言。其優勢包含:
- 跨語言資料流分析(X-Tier™ Analysis):能追蹤從前端到後端的資料流,精準定位問題源頭。
- 弱點分類明確,對應 OWASP 與 CVE:方便與企業既有安全規範接軌。
- 詳細的 Issue trace:協助開發者直接理解弱點的流向與修補方式。
三、實際情境:企業如何使用?
在許多企業中,開發廠商必須在系統上線前提供弱點掃描報告,大多會依照:
- OWASP Top 10
- CVE 公告
- 企業內部安全政策
來進行驗證。這些流程若完全靠人工執行,不但耗時,也容易漏掉步驟。
因此許多企業會要求:
- 固定排程掃描
- 每次版本都要出報告
- 結果要自動上傳到 SSC 進行集中管理
藉由 Jenkins 整合 Fortify,可將整套流程自動化執行。
四、系統架構與流程設計
以下為常見的 Fortify × Jenkins 架構示意:
- Source Code Server(10.100.230.2):開發者將當前版本程式碼放置於指定路徑。
- Jenkins(10.100.230.15:8080):使用者可從 Jenkins UI 直接觸發掃描流程。
- Fortify Scan Core Server:負責執行 Translation 與 Analysis。
- SSC Server(10.100.230.1):上傳 FPR 結果,供專案管理與弱點追蹤。
- Report Server(10.100.230.3):儲存 PDF 報告,提供審查或送件使用。
五、Jenkins Pipeline 自動化流程
整體流程如下:
- 取得 Source Code
- 執行 Fortify Translation
- 執行 Fortify Analysis
- 產生 FPR 結果
- 自動上傳 SSC(fortifyclient uploadFPR)
- 輸出 PDF 報告至 Report Server
- 於 Jenkins 顯示成功或失敗
在 CI / CD 中,這些步驟可自動在每次 Commit、Merge 或排程觸發,使弱點檢測無需人工參與。
六、示範畫面與結果
- Jenkins 執行過程截圖
- SSC 專案管理畫面
七、延伸應用:整合 Azure DevOps
Fortify 也能與 Azure DevOps Pipeline 搭配,例如:
- YAML 自動掃描
- Pull Request 的 Security Gate
- 自動上傳 SSC
這讓團隊無論使用 Jenkins 或 Azure DevOps,都能建立一致的安全流程。
八、結語
透過 Fortify 與 Jenkins 的整合,我們能將安全檢測真正融入 DevOps,讓「每一次程式碼提交」都具備相同的安全保障。這不僅降低人工檢查的時間成本,也讓弱點能在開發早期就被發現,提高專案整體的品質與安全性。
JJNET Blog
即刻訂閱,第一時間掌握最新資訊、產業趨勢與鉅晶獨到見解,助您在數位時代搶得先機、領先一步!