我在Nexus的Release存储库中有一个二进制工件 . 我们需要将这些工件从Nexus上传到Veracode进行静态代码分析 .
那么,使用或不使用Maven从Nexus存储库上将构建工件上传到Veracode的最佳(或任何合理)方法是什么? “bash curl”会很棒,甚至是Python脚本 .
Maven存储库中的所有工件都可以通过普通的HTTP请求下载 . 所以任何脚本语言,包括bash curl或wget都可以正常工作 . 这包括Python和任何其他支持HTTP的语言(基本上任何语言) .
最好的解决方案在很大程度上取决于您熟悉的内容以及与Veracode相关的内容 . 请记住,静态代码分析可能必须使用源工件而不是二进制输出 .
在分析二进制分量分析方面,您可能还想查看从Nexus Lifecycle,Nexus Auditor或Nexus Firewall可以获得的内容 .
此时Veracode没有专门的预建Nexus插件 . 但是,如果您有Veracode登录,则可以下载我们的API指南以及Java库,以帮助您从我们的帮助中心开始 . 根据语言和工件的构建方式,您应该能够利用API上传工件以进行扫描和检索结果,而无需访问源代码 .
我们对您的用例感兴趣;如果您想进一步讨论,请随时联系我(veracode的tjarrett) .
2 回答
Maven存储库中的所有工件都可以通过普通的HTTP请求下载 . 所以任何脚本语言,包括bash curl或wget都可以正常工作 . 这包括Python和任何其他支持HTTP的语言(基本上任何语言) .
最好的解决方案在很大程度上取决于您熟悉的内容以及与Veracode相关的内容 . 请记住,静态代码分析可能必须使用源工件而不是二进制输出 .
在分析二进制分量分析方面,您可能还想查看从Nexus Lifecycle,Nexus Auditor或Nexus Firewall可以获得的内容 .
此时Veracode没有专门的预建Nexus插件 . 但是,如果您有Veracode登录,则可以下载我们的API指南以及Java库,以帮助您从我们的帮助中心开始 . 根据语言和工件的构建方式,您应该能够利用API上传工件以进行扫描和检索结果,而无需访问源代码 .
我们对您的用例感兴趣;如果您想进一步讨论,请随时联系我(veracode的tjarrett) .