ソースコードを分析するために、Fortify360 プラグインで maven を使用しています。sca:translate ステップは正常に実行され、正しい sca-translate-java.txt ファイルが生成されるように見えますが、sca:scan ステップは実際にはどのサブプロジェクトでもスキャンを実行しません。
理由はありません。次のようなエラーメッセージだけです。
*サブプロジェクトのスキャンをスキップ
Fortify は初めてです。誰でもこれを経験したことがあり、スキャンをスキップする理由についていくつかのアイデアがありますか?
ありがとう!
プロジェクトが最上位の pom から継承している場合は、-Dsca.toplevel=foo パラメーターも使用する必要があり、ビルド ID を手動で設定する必要もあります。
そのため、翻訳ステップで、追加の -D パラメーターを追加してビルド ID を設定します。
スキャン ステップで、同じ -D パラメーターを追加してビルド ID を設定します。
また、スキャン ステップで、「最上位」の -D パラメータを追加します。
プロジェクト全体の集計結果が必要な場合は、 ScanMojoのソースで適切に自己文書化されているため、両方<buildId>...</buildId>を指定する必要があり<toplevelArtifactId>...</toplevelArtifactId>、一致しない場合はサブプロジェクトをスキップします。