×
多选题
研发云流水线配置中,以下关于Fortify步骤描述不正确的是
A
A.Fortify步骤必须在上传制品步骤前使用
B
B.Fortify步骤一定在构建步骤前使用
C
C.Fortify步骤可以在sonar扫描步骤后使用
D
D.Fortify步骤适合单独使用流水线完成功能
答案解析
正确答案:ACD
解析:
这道题考察的是对中国电信研发工程师在配置云流水线时对Fortify安全扫描步骤的理解。Fortify是一种静态代码分析工具,用于检测应用程序中的安全漏洞。下面是每个选项的简短解析:
A. Fortify步骤必须在上传制品步骤前使用 - 这个描述不正确。虽然通常建议在将构建产物(制品)部署或发布之前进行安全扫描,以确保没有安全问题,但这并不意味着Fortify步骤一定要在上传制品之前执行。在某些情况下,可能会有其他考虑因素影响步骤的顺序。
B. Fortify步骤一定在构建步骤前使用 - 这个描述是正确的。实际上,为了获得准确的结果,Fortify扫描应该针对已经编译过的代码执行,因此它一般会在构建步骤之后、部署之前进行。所以这个选项不是答案的一部分。
C. Fortify步骤可以在sonar扫描步骤后使用 - 这个描述不正确。SonarQube也是一个代码质量与安全检查工具,它可以与Fortify一起使用来提供更全面的代码审查。但是,Fortify和SonarQube可以按照需要灵活地安排它们在流水线中的顺序,并不一定要求Fortify总是在SonarQube之后运行。
D. Fortify步骤适合单独使用流水线完成功能 - 这个描述不正确。虽然Fortify可以作为一个独立的安全扫描工具使用,但在实际的持续集成/持续交付(CI/CD)环境中,它通常是整个自动化流水线的一个组成部分,而不是一个单独的功能流水线。流水线中可能还包括版本控制、构建、测试等多个步骤。
综上所述,选择ACD是因为这些选项对于Fortify步骤在流水线中的位置或使用方式给出了不准确或过于绝对的描述。而B选项则指出了Fortify通常应该在构建步骤之后执行,这是合理的。
A. Fortify步骤必须在上传制品步骤前使用 - 这个描述不正确。虽然通常建议在将构建产物(制品)部署或发布之前进行安全扫描,以确保没有安全问题,但这并不意味着Fortify步骤一定要在上传制品之前执行。在某些情况下,可能会有其他考虑因素影响步骤的顺序。
B. Fortify步骤一定在构建步骤前使用 - 这个描述是正确的。实际上,为了获得准确的结果,Fortify扫描应该针对已经编译过的代码执行,因此它一般会在构建步骤之后、部署之前进行。所以这个选项不是答案的一部分。
C. Fortify步骤可以在sonar扫描步骤后使用 - 这个描述不正确。SonarQube也是一个代码质量与安全检查工具,它可以与Fortify一起使用来提供更全面的代码审查。但是,Fortify和SonarQube可以按照需要灵活地安排它们在流水线中的顺序,并不一定要求Fortify总是在SonarQube之后运行。
D. Fortify步骤适合单独使用流水线完成功能 - 这个描述不正确。虽然Fortify可以作为一个独立的安全扫描工具使用,但在实际的持续集成/持续交付(CI/CD)环境中,它通常是整个自动化流水线的一个组成部分,而不是一个单独的功能流水线。流水线中可能还包括版本控制、构建、测试等多个步骤。
综上所述,选择ACD是因为这些选项对于Fortify步骤在流水线中的位置或使用方式给出了不准确或过于绝对的描述。而B选项则指出了Fortify通常应该在构建步骤之后执行,这是合理的。
相关知识点:
Fortify步骤使用要点速记
