easy_sast

Easy_sast es un contenedor Docker para su uso en tuberías de integración para enviar los artefactos de compilación de una aplicación a una herramienta de análisis estático. Esto se ha desarrollado de manera para servir como un patrón de construcción para otros contenedores destinados a facilitar una funcionalidad similar, y se integra de forma nativa con el producto de análisis estático de Veracode.

• Características
• Inicio rápido
• Uso
• Que contribuye

Easy_sast está disponible en Docker Hub ejecutando docker pull seiso/easy_sast

Para uso avanzado y más información, consulte el wiki.

Esta base de código se desarrolló en línea con el manifiesto resistente . Como tal, es:

• Flejado de usar : con opciones de flujo de trabajo y configuraciones que entienden intuitivamente DevOps.
• Fácilmente configurable : valores predeterminados prácticos y numerosas opciones de configuración, como un archivo de configuración, variables de entorno y/o argumentos de CLI.
• Código claro y comprensible : Uso regular de sugerencias de tipo, argumentos de palabras clave y un estilo de código normalizado facilita la comprensión de la intención del código.
• Diseñado para ser robusto : manejo de errores, validación de seguridad automatizada y validación generalizada.
• 100% probado : 100% de cobertura de código para pruebas unitarias en todos los compromisos.
• 100% formateado constantemente : pelusa de Docker, Make, Yaml y Python en todos los compromisos.

Para construir y ejecutar este proyecto, le recomendamos que tenga Docker 18.09 o más nuevo, Find, GIT, GNU Make y Python 3.

Para integrarse con VerAcode, deberá:

• Ser capaz de producir una construcción de depuración de su aplicación.

• Tenga una cuenta y una licencia válidas para usar las API SAST de Productos de Veracode que se describen a continuación.

• Tenga una aplicación en el Centro de Análisis de Veracode que tiene la intención de usar.

• Exporte sus credenciales de Veracode como variables de entorno:

   export VERACODE_API_KEY_ID=EXAMPLE
   export VERACODE_API_KEY_SECRET=EXAMPLE
  

1. Construye la imagen Docker:

   make build

2. Ejecute el contenedor Docker, pase las credenciales de sus API y monte el directorio que contiene sus artefactos de compilación en /construye:

   docker run --env-file <( env | grep ^VERACODE_API_KEY_ ) -v " /path/to/build " :/build seiso/easy_sast:latest

Los detalles adicionales y las opciones de configuración se describen en el uso y en el wiki.

usage: main.py [-h] [--config-file CONFIG_FILE] [--version]
               [--debug | --verbose]

optional arguments:
  -h, --help                          show this help message and exit
  --config-file CONFIG_FILE           specify a config file
  --version                           show program ' s version number and exit
  --debug                             enable debug level logging
  --verbose                           enable info level logging

Hay dos métodos recomendados para pasar información a Easy_Sast en tiempo de ejecución:

1. Pase las variables de entorno a docker run usando --env-file . Por ejemplo:

   docker run --env-file <( env | grep VERACODE_API_KEY_ ) -v " /path/to/build " :/build seiso/easy_sast:latest

2. También es posible que desee pasar una discusión al Python en el contenedor agregando sus argumentos a docker run . Por ejemplo:

   docker run -e VERACODE_API_KEY_ID=EXAMPLE -e VERACODE_API_KEY_SECRET=EXAMPLE seiso/easy_sast:latest --debug

¿Quiere aprender sobre un uso más avanzado, como optimizar SAST para solicitudes de extracción? Mira el wiki.

• Subir API
• Resultados API

Tenga en cuenta que como mínimo su usuario de Veracode debe tener permiso para acceder a la API de carga y su punto final getApplist.do.

Si desea ver soporte para más API o flujos de trabajo de Veracode para interactuar con esas API, ¡abra un problema y háganoslo saber!

1. Bifurca el repositorio
2. Crear una rama de características a través de git checkout -b feature/description
3. Haz tus cambios
4. Comprometer sus cambios a través de git commit -am 'Summarize the changes here'
5. Cree una nueva solicitud de extracción (How-to)