整合 Bitbucket、Fortify 和 Jira 打造高效安全的軟體開發工作流程

快速了解！透過整合 Bitbucket、Fortify 和 Jira，確保軟體開發效率，並有效降低人為操作風險！

 

撰文者／邁達特 Wilson Jian、Peter Wu、Fortify 技術團隊

在現代軟體開發中，如何確保開發效率的同時，維持程式碼的安全性和專案管理的透明度是許多企業面臨的挑戰。尤其在開發流程中，人工操作的不可控性可能導致人為疏失的錯誤甚至安全漏洞，因此建構一個自動化且可追溯的工作流程至關重要。

透過整合 Bitbucket、Fortify 和 Jira，企業可建構一個強大的 DevSecOps 工作流，實現程式碼版本控制、安全性檢測、自動化部署以及專案協作的無縫整合，並有效降低人為操作風險。本文將深入探討這三款工具的技術特性、整合工作流程以及整合後的效益。

工具技術特性概述

工具	供應商	工具說明
Bitbucket	Atlassian	分散式版本控制平台，專為 Git 儲存庫設計。它提供安全的程式碼管理環境，    支援分支操作與合併請求（Pull Request），並能透過 Pipeline 實現持續整合    （CI）與持續交付（CD）的工作流。
Fortify	OpenText	專業的應用程式安全性測試工具，提供靜態程式碼分析（Static Code Analysis，    SCA）與動態應用程式測試（Dynamic Application Security Testing，DAST），    能快速檢測潛在漏洞並生成詳細的修復建議，支持企業實現全面的安全性治理。
Jira	Atlassian	專案管理工具，支援敏捷開發框架，提供高度定制化的任務追蹤與進度管理功能。    透過整合，Jira 可檢視專案的最新狀態並實行跨團隊協作。

 

整合工作流程

整合 Bitbucket、Fortify 和 Jira 的工作流程可分為以下幾個步驟：

1. 工具連結與配置

• 配置 Fortify 與 Bitbucket 的整合，通過 Bitbucket Pipeline 將 Fortify 的安全性掃描嵌入程式碼提交的 CI/CD 流水線中，確保每次程式碼變更時自動觸發安全性檢測。

2. 建立自動化的 CI/CD Pipeline

• 在 Bitbucket 中，定義多階段 Step，將 Fortify 的靜態程式碼分析作為其中一個關鍵節點。當開發者提交程式碼時，Pipeline 會自動執行安全性檢測，生成漏洞報告並根據檢測結果決定是否進入下一階段。 

• 利用 Pipeline 的條件化執行功能，設置安全性閘道（Security Gate），確保只有符合預設安全標準的程式碼才能進入部署階段。

3. 服務部署流程的安全性保障

• Fortify 掃描完成後，若程式碼無高危漏洞或已修復所有關鍵問題，Pipeline 會自動將程式碼部署至指定的環境，確保部署的程式碼符合企業的安全性策略。 

• 若檢測結果顯示存在未解決的高風險漏洞，部署流程將被阻止，並向負責的開發者發送通知，要求進行修復。修復完成後再次觸發安全性檢測，直至符合標準後才允許部署。

4. 漏洞檢測結果同步至 Jira

• 使用 Bitbucket，將 Fortify 生成的安全性問題自動轉換為 Jira 任務。這些任務包含漏洞的詳細描述、影響範圍以及修復建議，方便開發者快速定位問題並進行處理。 

• 在 Jira 中設置定制化的工作流程，確保每個安全性問題的修復進度能被有效追蹤。例如，從「待處理」到「進行中」再到「已完成」，每個狀態都能清楚反映修復的進展。

5. 專案監控與視覺化管理

• 在 Jira 中建立專案儀表板，整合來自 Bitbucket 和 Fortify 的數據。管理者可以即時查看： 

  • 程式碼提交的頻率與狀態。  

  • Fortify 掃描中發現的漏洞數量與類型。  

  • 每個任務的進度與負責人。

• 透過這些數據，管理者能快速識別專案中的瓶頸，並進行資源優化。

圖1 打造高效安全的自動化軟體開發之流程圖

整合後的技術效益

透過整合 Bitbucket、Fortify 和 Jira，企業可實現真正的 DevSecOps 工作流，帶來以下技術效益：

1. 程式碼提交與安全性檢測的自動化

每次程式碼提交後，Fortify 的安全性掃描會自動執行，並將結果同步至 Jira。開發者可專注於功能開發，而無需耗費額外精力進行手動安全性檢測。

2. 跨職能團隊協作的提升

開發團隊、測試團隊與管理者可透過 Jira 共享資訊，確保每個安全性問題都有明確的負責人與修復期限，減少溝通中的資訊斷層。

3. 弱點檢測與安全部署的保障

Fortify 的安全性掃描流程確保只有符合標準的程式碼能進入部署階段，降低因安全漏洞導致的運行風險。這種自動化的弱點檢測與部署方式，進一步提升了產品的可靠性。

4. 專案全局視圖的建立

管理者可透過 Jira 的儀表板，實時掌握專案進度、程式碼品質以及安全性問題的處理情況，從而做出更有效的資源調配與決策。

5. 開發效率的提升

整合後的自動化工作流減少了手動操作的需求，讓開發團隊能專注於核心任務，進一步提升整體效率。

圖2 Fortify 弱點掃描報告

 

圖3 Bitbucket pipeline

 

圖4 Jira 上的弱點紀錄

 

整合 Bitbucket、Fortify 和 Jira 是現代企業實現高效、安全開發的關鍵策略。透過這三款工具的協作，企業不僅能提升程式碼管理與安全性檢測的效率，還能讓專案管理更加透明化，並有效降低人為操作風險，為管理者提供全方位的技術支持。整合過程雖然需要一定的技術投入，但其帶來的長期效益，無論是對團隊效率還是產品品質，都具有極大的價值。這種整合方式不僅是技術上的進步，更是企業競爭力提升的核心策略之一。

IT 智能化最佳夥伴－MetaAge 邁達特擁有經過 Atlassian 與 OpenText 原廠認證的技術團隊，可為台灣企業與組織提供完整的導入顧問、技術支援和教育訓練服務。邁達特深耕 IT 技術整合，深入了解台灣本地的企業文化與垂直產業需求，可協助您量身打造最適合的數位轉型方案。

邁達特針對 Atlassian 平台方案提供一對一免費顧問諮詢服務，協助企業評估數位轉型需求，打造流暢的企業管理方案。

• 如欲了解更多 MetaAge 邁達特的企業解決方案，請造訪 https://www.metaage.com.tw/
• 如欲了解更多 Atlassian 的產品資訊，請造訪 https://www.metaage.com.tw/brands/atlassian
• 如欲了解更多 OpenText 的產品資訊，請造訪 https://www.metaage.com.tw/brands/opentext