×
单选题
以下关于流水线Fortify步骤描述正确的是
A
A.Fortify属于重型扫描,使用场景适合上线前最后扫描一次
B
B.Fortify扫描应该加入到VerifyCi流水线中,每次代码变更都进行一次扫描
C
C.使用Fortify扫描前无需在研发云上先跑通编译构建流程
D
D.Fortify扩展参数用来作弊忽略发现的扫描问题
答案解析
正确答案:B
解析:
这道题的答案是 B。下面是对每个选项的解析:
A. Fortify属于重型扫描,使用场景适合上线前最后扫描一次。
解析:Fortify确实可以被归类为一种较为全面和深入的静态代码分析工具,它能够发现代码中的潜在安全漏洞。但是说它只适合在上线前最后扫描一次并不准确。虽然它可以在软件开发周期的后期使用以确保发布版本的安全性,但在整个开发过程中更早地集成Fortify可以帮助及早发现并修复问题。
B. Fortify扫描应该加入到VerifyCI流水线中,每次代码变更都进行一次扫描。
解析:这是正确的做法。将Fortify集成进持续集成(CI)流水线意味着每当代码库发生变化时都会触发一次扫描。这样可以尽早识别出新引入的安全问题,并且有助于维护一个较高的安全标准。通过这种方式,团队能够在问题变得复杂或难以解决之前就将其解决掉。
C. 使用Fortify扫描前无需在研发云上先跑通编译构建流程。
解析:通常来说,在执行Fortify等静态代码分析工具之前,需要有一个成功的编译构建过程。这是因为扫描工具需要处理的是可运行的源代码。如果编译不成功,则可能无法准确地执行静态分析。
D. Fortify扩展参数用来作弊忽略发现的扫描问题。
解析:这个说法是错误的。Fortify提供的扩展参数允许用户根据实际情况调整规则集、过滤误报等情况,并不是为了“作弊”或者忽视真正存在的问题。合理配置这些参数是为了优化扫描结果的质量和准确性。
综上所述,最佳答案是 B 选项,因为它提倡了在持续集成环境中频繁进行安全扫描的良好实践,这对于提高软件质量和安全性是非常有益的。
A. Fortify属于重型扫描,使用场景适合上线前最后扫描一次。
解析:Fortify确实可以被归类为一种较为全面和深入的静态代码分析工具,它能够发现代码中的潜在安全漏洞。但是说它只适合在上线前最后扫描一次并不准确。虽然它可以在软件开发周期的后期使用以确保发布版本的安全性,但在整个开发过程中更早地集成Fortify可以帮助及早发现并修复问题。
B. Fortify扫描应该加入到VerifyCI流水线中,每次代码变更都进行一次扫描。
解析:这是正确的做法。将Fortify集成进持续集成(CI)流水线意味着每当代码库发生变化时都会触发一次扫描。这样可以尽早识别出新引入的安全问题,并且有助于维护一个较高的安全标准。通过这种方式,团队能够在问题变得复杂或难以解决之前就将其解决掉。
C. 使用Fortify扫描前无需在研发云上先跑通编译构建流程。
解析:通常来说,在执行Fortify等静态代码分析工具之前,需要有一个成功的编译构建过程。这是因为扫描工具需要处理的是可运行的源代码。如果编译不成功,则可能无法准确地执行静态分析。
D. Fortify扩展参数用来作弊忽略发现的扫描问题。
解析:这个说法是错误的。Fortify提供的扩展参数允许用户根据实际情况调整规则集、过滤误报等情况,并不是为了“作弊”或者忽视真正存在的问题。合理配置这些参数是为了优化扫描结果的质量和准确性。
综上所述,最佳答案是 B 选项,因为它提倡了在持续集成环境中频繁进行安全扫描的良好实践,这对于提高软件质量和安全性是非常有益的。
相关知识点:
流水线Fortify步骤考点明
