Azure devops 加强Azure Devops服务（VSTS）上的OnDemand

我们计划使用Azure DevOps服务实施CI/CD。需求中的一个关键问题是在构建管道中集成按需强化

我尝试将Fortify On Demand SCA任务添加到构建管道中，只需填写几个初步字段。在开始之前我需要一些建议

强化任务应在生成之前还是之后触发 建造。我们正在使用Fortify On Demand（SaaS），着眼于加速构建

---

任何帮助都将不胜感激。谢谢大家!

按需强化需要一个包含所有依赖项的调试生成来扫描代码，因此您必须在生成后执行此操作

通常情况下，你会有一个单独的每周建设只为你的强化扫描。它进行调试构建并上传人工制品，以按需增强功能。FoD将需要一些时间来完成扫描，特别是如果您让他们的员工检查扫描并消除误报（手动检查）。误报仍然可以通过，因为它们不知道应用程序的上下文

请注意，在进行自动扫描之前，FoD需要手动扫描。如果您尝试在没有先进行手动扫描的情况下进行自动扫描，您将得到一个关于授权的神秘错误

您可以通过为应用程序提供两个版本来进行设置。首先进行手动发布，这是通过在调试模式下构建并压缩整个目录来完成的。您可以手动启动扫描，上载zip文件

---

完成后，您将创建第二个版本，即自动扫描。将手动扫描的结果导入自动扫描。从那时起，Azure插件应该可以用于自动扫描，直到您的订阅结束——那时，您必须在续订授权后进行手动扫描，以使一切恢复正常。如果他们能解决这个问题就好了…

你在一个问题中问了两个问题。请具体说明，或将此问题分为两个单独的问题..Eriawan-整合问题。TheGreatContini-感谢您的宝贵建议。另外，还要添加一个查询—如果强化安全扫描在特定的设置条件下失败，则使整个构建周期失败是否是一个好的做法。这行得通吗？@Renji这很难做到，你也不会想做的。这是很难做到的，因为扫描需要几天的时间，而且插件不会得到扫描结果的反馈，所以唯一的方法是在构建作业中编写无限期查询强化API的代码。你不会想这么做，因为有太多的误报通过，而Fortify称一切都是关键或高风险的（现实远没有那么严重）。像Contrast Security这样的工具会有更多的希望，但Fortify绝对不会。再次感谢。我认为，根据时间消耗和实施过程中可能出现的问题判断，我将继续进行，而不添加构建失败过程。