fortify/skills

# OpenText Fortify 技能 指导 Claude、GitHub Copilot 及其他 AI 代理如何高效使用 [OpenText Fortify](https://www.opentext.com/products/application-security) 的 AI 代理技能 — 涵盖 SAST/DAST/SCA 扫描、漏洞分类、审计工作流、CI/CD 集成、FCLI 命令等。 ## 技能 | 技能 | 描述 | |-------|-------------| | **fortify-fod** | Fortify on Demand (SaaS) — 应用管理、版本发布、扫描任务、问题跟踪、开源软件分析、组合报告 | | **fortify-ssc** | Software Security Center (本地部署) — 管理应用版本、构建产物、扫描任务、问题分类 | | **fortify-remediate** | 修复 Fortify 检测到的漏洞 — 包括 SAST、DAST 和 SCA 结果；Aviator AI 辅助修复 | | **fortify-security-assistant** | 在代码生成过程中检测常见、高危的安全问题 | | **fortify-create-app** | 在 FoD 或 SSC 中创建新的 Fortify 应用 — 提供带验证和默认设置的引导式入驻流程 | | **fortify-cicd-integration** | 将 Fortify 扫描集成到 CI/CD 流水线 — 支持 GitHub Actions、GitLab CI、Azure DevOps、Jenkins | | **fcli-common** | Fortify CLI (fcli) — 安装、认证、输出格式、SpEL 查询、自定义操作 | ## 代理 代理是处理端到端工作流的多技能协调器。 | 代理 | 描述 | |-------|-------------| | **fortify-onboarding** | 将新应用入驻到 Fortify (FoD 或 SSC) — 创建应用、配置设置，并可选设置 CI/CD 扫描流水线。支持单个仓库、批量列表或整个 GitHub/GitLab/Azure DevOps 组织 | ## 前置条件 - 已安装 **fcli** 并加入 PATH 环境变量 — [安装说明](skills/fcli-common/references/fcli-install.md) - 拥有有效的 Fortify on Demand (FoD) 或 Software Security Center (SSC) 账户 - 支持 Agent 技能的 AI 助手（Claude Code、GitHub Copilot、Cursor、Gemini CLI 等） ## 安装说明 ### Claude 代码 从 GitHub 添加市场，然后安装插件： ``` claude plugin marketplace add fortify/skills claude plugin install fortify-skills@fortify ``` 该插件会自动注册全部七个技能和入驻代理。 ### GitHub Copilot **推荐：安装 [Fortify Code Security](https://marketplace.visualstudio.com/items?itemName=fortifyvsts.fortify-code-security) VS Code 扩展。** 它捆绑了所有 Fortify 技能，可自动安装 fcli，并提供完整的 IDE 集成（扫描、漏洞审查、Aviator AI 修复及可选的 fcli MCP 服务器）： 1. 打开 VS Code，在扩展面板搜索 **Fortify Code Security**，或直接安装： ext install fortifyvsts.fortify-code-security 2. 扩展会自动注册所有技能并设置 GitHub Copilot Agent 模式集成。 **备选方案：手动安装。** 将技能复制到 Copilot 技能目录： ``` /.copilot/skills/ ``` 这样可以使用技能，但缺少 IDE 功能（扫描界面、漏洞浏览器、Aviator 行内修复、MCP 服务器）。 ### OpenAI Codex 此仓库在 `.agents/plugins/marketplace.json` 中包含一个市场目录。当此仓库是当前工作区时，Codex 会自动将其识别为仓库范围的市场。打开插件目录，选择 **OpenText Fortify**，然后安装 **fortify-skills**。 要使插件在所有工作区可用，请在个人市场 `~/.agents/plugins/marketplace.json`（如果文件不存在则创建）中添加条目，将 `` 替换为此目录的绝对路径： ``` { "name": "fortify", "interface": { "displayName": "OpenText Fortify" }, "plugins": [ { "name": "fortify-skills", "source": { "source": "local", "path": "" }, "policy": { "installation": "AVAILABLE", "authentication": "ON_INSTALL" }, "category": "Security" } ] } ``` 然后重启 Codex。插件会自动注册全部七个技能。 ### Gemini 命令行界面 直接从 GitHub 仓库安装： ``` gemini extensions install https://github.com/fortify/skills ``` 该扩展捆绑了全部七个技能。Gemini CLI 会自动发现它们并激活与任务相关的技能。 发布前本地测试： ``` gemini extensions link /path/to/public ``` ### 其他 AI 助手 任何支持 [Agent 技能](https://agentskills.io) 标准的助手都可以从此目录加载技能。将助手的技能路径指向 `skills/` 子目录。 ## 使用方法 安装后，技能会在相关时自动激活。触发每个技能的提示示例： | 提示 | 激活的技能/代理 | |--------|------------------------| | “将此仓库入驻到 Fortify” | fortify-onboarding (代理) | | “在 FoD 中为支付团队创建新应用” | fortify-create-app | | “显示支付服务版本中的所有严重问题” | fortify-fod | | “上传我的 FPR 并检查策略合规性” | fortify-ssc | | “修复 UserService.java 中的 SQL 注入问题” | fortify-remediate | | “添加一个返回账户详情的新端点” | fortify-security-assistant | | “将 Fortify 扫描添加到我的 GitHub Actions 工作流中” | fortify-cicd-integration | | “创建一个自定义 fcli 操作，将 FoD 严重问题导出为 CSV” | fortify-fod + fcli-common | ## 资源 - [Fortify CLI (fcli) — GitHub](https://github.com/fortify/fcli) - [Fortify on Demand 文档](https://www.microfocus.com/documentation/fortify-on-demand/) - [Software Security Center 文档](https://www.microfocus.com/documentation/fortify-software-security-center/) ## 许可证 MIT

标签：AI代理, Aviator AI, Claude Code, DevSecOps, FCLI, Fortify, Gemini CLI, GitHub Copilot, GPT, OpenText, TLS抓取, URL发现, 上游代理, 代码安全, 动态应用安全测试, 威胁管理, 安全扫描, 安全检测, 安全测试, 开源框架, 持续部署, 持续集成, 攻击性安全, 时序注入, 漏洞修复, 漏洞分类, 漏洞枚举, 漏洞管理, 网络安全培训, 软件安全, 静态应用安全测试