Security 强化：如何使用强化API/CLI自动获取项目下的问题（漏洞）列表，以在存在漏洞时中断我的管道

尊敬的stackoverflow用户和开发者：

我在寻找解决问题的方法时遇到了麻烦。但它并没有帮助和解决不同的方面

Desire:我想在每次扫描完成后，在我的开发管道中自动查询Fortify API（或CLI），以获取问题列表（漏洞），如果发现任何问题，则生成失败

问题：强化API接受令牌，该令牌将在24小时内到期。为了生成令牌，我需要用户凭据。如果我想从邮递员或控制台查询API，可以手动登录并生成令牌。。。但是我想扫描连接到我的CI/CD工具的每一个代码更改，如果发现了什么，就破坏构建

• 我无法存储我的用户凭据并在管道中使用它们，因为这是不合适的
• 我不能有一个服务帐户或任何东西，这是一个非真实的用户登录或访问API
• 没有具有永久令牌的选项

---

您对如何解决这个问题有何建议？

我最近也遇到了这个问题，我们所做的是生成一个一年后到期的CIToken。以下是令牌类型说明：

“此多用途令牌规范设计用于Fortify continuous integration插件，该插件在构建过程中自动将FPR上载到软件安全中心，并下载正在构建的应用程序版本的漏洞统计信息。”

不是永久令牌，但优于24小时到期令牌