user guide

Das Scantist SCA ist das Quellcode-Analyse-Tool für C/C ++, das Schwachstellen und Compliance-Probleme im Zusammenhang mit der Verwendung von Open-Source-Komponenten in Ihren Projekten und Anwendungen identifiziert.

• Schwachstellen-Das Tool sucht nach bekannten Sicherheitslücken (CVEs) und Entwickler-Sicherheitsfixes (Sicherheitsfehler) sowie partiellen Anpassungen für die beiden (gefährdeten Klone). Die Tools bieten auch potenzielle Codefixe für dasselbe.
• Lizenzen-Das Tool sucht auch nach Open-Source-Bibliotheken, die in Ihrem Projekt verwendet werden, und alarmieren Sie, wenn potenzielle Probleme mit der Compliance-Compliance vorhanden sind. Wenn eine der Open-Source-Komponenten so lizenziert wird, dass Sie Ihren Anwendungsfall (Verteilung, Haftung, Haftung usw.) nicht überlegt.

1. Navigieren Sie zu https://scantist.io
2. Melden Sie sich mit einem für Sie eingerichteten GitHub-Konto an.
3. Sobald Sie sich angemeldet haben, wird Ihnen das Anwendungs ​​-Dashboard präsentiert.
4. Um ein Projekt zu scannen, müssen Sie es zuerst hinzufügen. Klicken Sie im Menü links auf die Registerkarte "Projekte".
5. Klicken Sie auf die Schaltfläche "Verwalten" neben dem Header "Projekte" auf der mittleren linken Bildschirm.
6. Die Liste der verfügbaren Projekte im Test Github -Konto wird nun angezeigt. Klicken Sie auf die Schaltfläche "Hinzufügen" in Bezug auf die Projekte, die Sie scannen möchten-ein Popup bestätigt die Ergänzung.
7. Sobald das Projekt hinzugefügt wurde und Sie wieder in die Ansicht "Projekte" umgeleitet werden. Sie können die "Projektdetails" jederzeit auf den Projektnamen aus dieser Ansicht anzeigen. Auf der Seite "Projektdetails" können Sie auch Scan-Einstellungen und Richtlinien für ereignisgesteuerte Integrationen und Lizenzkonflikte festlegen. 8a. Um den Scan manuell zu manuell, klicken Sie auf die Schaltfläche "Aktionen" im rechten Ende der Zeile mit dem hinzugefügten Projekt. Klicken Sie im angezeigten Dropdown-Menü auf "Scan". 8b. Um jedes Mal, wenn ein Pull-Request an Ihr Github-Repository erfolgt, auszulösen, wenden Sie sich zu den "Projektdetails" und unter den "Scan-Einstellungen" den ereignisgesteuerten Scan ein.
8. Sobald ein Scan eingeleitet wurde, ändert sich der Status des Projekts nun zu "Laufen". Abhängig von der Projektgröße kann es ungefähr 10 Minuten dauern, bis der Scan fertig ist.
9. Klicken Sie im Menü links auf die Registerkarte "Schwachstellen". Sie erhalten nun einen "By Project" und "By Issue" -Verleichterungen über Schwachstellen, die gefunden wurden.
10. Um die Liste der in einem Projekt erkannten Schwachstellen anzuzeigen, klicken Sie auf den Link "Ansicht" an der rechten Ecke, die dem Projekt entspricht, das Sie auf der Registerkarte "By Project" anzeigen möchten.
11. Sie werden nun eine Liste der Schwachstellen angezeigt, die im neuesten Scan für das Projekt enthalten sind, und einige Details dazu.
12. Klicken Sie auf den Link "Ansicht", der der Sicherheitsanfälligkeit entspricht, um Details zu einer bestimmten Sicherheitsanfälligkeit anzuzeigen. Auf der Seite "Ausgabendetails" werden Ihnen weitere Details enthalten, einschließlich des tatsächlichen schutzbedürftigen Codes und des gepatmten Code (falls verfügbar).
13. Klicken Sie auf die Registerkarte "Lizenzen" im Menü "links", um potenzielle Lizenzprobleme anzuzeigen. Sie erhalten nun einen Überblick über "By Project" und "By Lizenz".
14. Klicken Sie auf den Link "Ansicht" an der rechten Ecke, die dem Projekt entspricht, das Sie auf der Registerkarte "By Project" anzeigen möchten, um die Liste der Bibliothek und die entsprechenden Lizenzen anzuzeigen, die in einem Projekt erkannt werden.
15. Sie werden nun eine Liste von Bibliotheken und deren Lizenzen angezeigt, die im neuesten Scan für das Projekt enthalten sind, und einige Details dazu.