×
单选题
以下关于流水线Fortify步骤描述正确的是
A
Fortify属于重型扫描,使用场景适合上线前最后扫描一次
B
Fortify扫描应该加入到VerifyCi流水线中,每次代码变更都进行一次扫描
C
使用Fortify扫描前无需在研发云上先跑通编译构建流程
D
Fortify扩展参数用来作弊忽略发现的扫描问题
答案解析
正确答案:B
解析:
这道题考查的是对Fortify静态应用安全测试(SAST)工具在持续集成/持续部署(CI/CD)管道中的理解和使用。
选项解析:
A. Fortify虽然是一个功能强大的工具,可以被视为“重型扫描”,因为它需要消耗较多的资源和时间来完成。但是,并不是仅限于上线前最后扫描一次,而是在开发周期内多次使用来尽早发现安全漏洞。
B. 正确选项。Fortify扫描应当是持续集成的一部分,这样可以在每次代码提交后尽早检测到潜在的安全问题,从而加快修复速度并减少安全风险进入生产环境的可能性。
C. 在使用Fortify之前通常建议先确保构建流程能够成功运行,因为如果构建流程存在问题,那么Fortify可能无法正常工作或者会产生误导性的结果。
D. Fortify扩展参数是用来定制扫描规则或调整扫描行为的,并不是用于“作弊”或忽略问题的。忽略安全问题是不负责任的行为,可能会导致严重的安全隐患。
因此,正确的答案是B,因为Fortify扫描应当集成到持续集成的验证阶段,以确保每次代码变更都能及时发现并修复安全问题。
选项解析:
A. Fortify虽然是一个功能强大的工具,可以被视为“重型扫描”,因为它需要消耗较多的资源和时间来完成。但是,并不是仅限于上线前最后扫描一次,而是在开发周期内多次使用来尽早发现安全漏洞。
B. 正确选项。Fortify扫描应当是持续集成的一部分,这样可以在每次代码提交后尽早检测到潜在的安全问题,从而加快修复速度并减少安全风险进入生产环境的可能性。
C. 在使用Fortify之前通常建议先确保构建流程能够成功运行,因为如果构建流程存在问题,那么Fortify可能无法正常工作或者会产生误导性的结果。
D. Fortify扩展参数是用来定制扫描规则或调整扫描行为的,并不是用于“作弊”或忽略问题的。忽略安全问题是不负责任的行为,可能会导致严重的安全隐患。
因此,正确的答案是B,因为Fortify扫描应当集成到持续集成的验证阶段,以确保每次代码变更都能及时发现并修复安全问题。
相关知识点:
Fortify扫描应加入VerifyCi流水线
