कमांड लाइन उपयोग को मजबूत करें

Question

क्या किसी ने भाग्य चलाने के लिए कमांड लाइन का उपयोग किया है? मैं अपने सीआई निर्माण में भाग्य चलाने के लिए प्रयास करने की कोशिश करता हूं और मुझे नहीं पता कि यह कैसे करना है।

Answer 1

हमें बताएं कि क्या आपको सहायता टेक्स्ट में उपयुक्त निर्माण आदेश नहीं दिख रहा है। असली दुनिया के आविष्कार का 99% वहां हैं।

किस प्रकार का स्रोत कोड बनाने की कोशिश कर रहे हैं, इस पर निर्भर करता है कि विभिन्न कमांड लाइन स्विच और तकनीकों का उपयोग करने के लिए कई दर्जन हैं।

मैं अनुशंसा करता हूं कि आप एससीए उपयोगकर्ता मार्गदर्शिका प्राप्त करके शुरू करें। यह एक पीडीएफ दस्तावेज है जिसे आप फोर्टिफाइ इंस्टालर प्रदान करने वाले किसी भी व्यक्ति से प्राप्त कर सकते हैं।

Answer 2

फोर्टिफ़ी में एक स्थिर कोड विश्लेषक उपकरण है, स्रोत विश्लेषक। यह टूल कमांड लाइन आधारित है, और इस तरह, ऐसा कुछ होना चाहिए जिसे आप सीआई सिस्टम में एकीकृत कर सकें।

जैसा ऊपर बताया गया है, आप सहायता विकल्प का उपयोग कर सकते हैं या दस्तावेज़ीकरण/उपयोगकर्ता मार्गदर्शिका (नाम: एचपी फोर्टिफा स्टेटिक कोड विश्लेषक उपयोगकर्ता मार्गदर्शिका) की समीक्षा कर सकते हैं जिसमें कई भाषाओं और विकल्प शामिल हैं।

एक बिंदु जो आपको विचार करने की आवश्यकता हो सकती है वह एक सीआई परिदृश्य में ऐसे स्कैन करने की गति और संसाधन उपयोग है। आपको रात को या चोटी के घंटों के दौरान इसे चलाने पर विचार करने की आवश्यकता हो सकती है। दस्तावेज़ीकरण बताता है कि उपकरण स्मृति की एक सभ्य राशि का उपयोग करता है।

आपको यह भी पता लगाना होगा कि आउटपुट एफपीआर फ़ाइल को कैसे संसाधित करना है जो Sourceanalyzer उपकरण उत्पन्न करता है। उदाहरण के लिए, आप इसे टीम सिटी में एक आर्टिफैक्ट बना सकते हैं और इसे मैन्युअल रूप से फोर्टिफ़ाई सर्वर पर अपलोड कर सकते हैं या फोर्टिफ़ वर्कबेंच उत्पाद के साथ उपयोग कर सकते हैं। मुझे लगता है कि आप फंतासी सर्वर में अपलोड को फैंसी और स्वचालित भी कर सकते हैं।

Answer 3

एक सामान्य स्कैन के लिए आदेश इस तरह कुछ दिखाई देंगे।

1. का उपयोग कर

sourceanalyzer -b <build ID> <sourcecode>

1. को स्कैन करता है

sourceanalyzer -b <build ID> -scan -f <test>.fpr

साथ निर्माण

1. (यदि आप 360 सर्वर का उपयोग कर रहे हैं) परिणाम

fortifyclient uploadFPR -f <test>.fpr -project <projectname> -version <versionname> -urlhttps://fortify.com/f360 -user <username> -password <password> /// <authtoken>

हालांकि साथ सर्वर को मज़बूत करने के लिए अपलोड, मैं निर्माण लेबल के साथ मदद का अनुरोध। जब हम एससीए का आह्वान करते हैं, तो हम इसे एक बिल्ड लेबल असाइन कर सकते हैं। हालांकि मुझे यकीन नहीं है कि आदेशों को कौन सा विकल्प प्रदान करना है।

sourceanalyzer -b testid codebase -build-label <option>

किसी की मुझे पता है तो कृपया प्रारूप पता है।

Answer 4

चूंकि मैं कोई टिप्पणी नहीं जोड़ सकता, मुझे इसे एक उत्तर के रूप में पेश करना होगा। हमारी कंपनी ने हमारे टीएफएस निर्माण पर्यावरण में स्कैन प्रक्रिया को एकीकृत किया है और यह बहुत अच्छी तरह से काम करता है।

हम ऐसा करने के लिए "Invoke Process" निर्माण गतिविधियों की एक श्रृंखला का उपयोग करते हैं। संपूर्ण सुरक्षा स्कैन अनुक्रम एक सशर्त में लपेटा गया है जिसे बिल्ड परिभाषा के लिए तर्क के रूप में उजागर किया गया है। यह हमें आवश्यकतानुसार स्कैन को सक्षम या अक्षम करने की अनुमति देता है। हम फोर्टिफा प्रोजेक्ट, फोर्टिफाइ प्रोजेक्ट वर्जन, और एफपीआर फाइल अपलोड करने के लिए एक और सशर्त जैसे कुछ अन्य चीजों का भी खुलासा करते हैं।

यह का सार यह है:

स्वच्छ

sourceanalyzer -b "Build ID" -clean

बिल्ड

sourceanalyzer -b "Build ID" devenv BuildID.sln /Rebuild Debug /out "C:\SSCLogs\SSCBuild.log"

स्कैन

sourceanalyzer -b "Build ID" -scan -format fpr -f BuildID.fpr

अपलोड एसएससी

fortifyclient.bat -url SSCServerUrl -authtoken XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX uploadFPR -file BuildID.fpr -project "MyProject" -version "MyProject v1.0.0"

करने के लिए आप एक पूर्ण ठहरनेवाला और/या कुछ स्क्रीन कैप्चर्स चाहते हैं, तो मैं तुम्हारे लिए कुछ प्रदान करने के लिए खुशी होगी।

Answer 5

यहां बहुत अच्छे उत्तरों हैं, मैं यह जोड़ना चाहता हूं कि आप इसे बहुत उपयोगी स्कैन करते समय लॉगिंग जोड़ सकते हैं।

लॉगिंग साथ स्कैन

sourceanalyzer बी "का निर्माण आईडी" स्कैन -format fpr -f BuildID.fpr -debug -verbose -logfile "C: \ logfile.txt"