user guide

El Scantist SCA es la herramienta de análisis de código fuente para C/C ++ que identifica vulnerabilidades y problemas de cumplimiento relacionados con el uso de componentes de código abierto en sus proyectos y aplicaciones.

• Vulnerabilidades: la herramienta busca vulnerabilidades conocidas (CVE) y correcciones de seguridad parchadas al desarrollador (errores de seguridad), así como partidos parciales para los dos (clones vulnerables). Las herramientas también ofrecen posibles fijadores de código para lo mismo.
• Licencias: la herramienta también busca bibliotecas de código abierto utilizadas en su proyecto y le alerta si existen problemas potenciales de cumplimiento de la licencia, es decir, si alguno de los componentes de código abierto tiene licencia de una manera que no permite su caso de uso (distribución, responsabilidad, etc.), la herramienta le notificará de la misma.

1. Navegue a https://scantist.io
2. Inicie sesión con una configuración de cuenta GitHub para usted.
3. Una vez que inicie sesión, se le presentará el panel de aplicaciones.
4. Para escanear un proyecto, debe agregarlo primero. Haga clic en la pestaña 'Proyectos' en el menú del lado izquierdo.
5. Haga clic en el botón verde 'Administrar' junto al encabezado 'Proyectos' en la mitad de la pantalla de la pantalla.
6. Ahora se mostrará la lista de proyectos disponibles en la cuenta GitHub de prueba. Haga clic en el botón 'Agregar' relacionados con los proyectos que desea escanear: una ventana emergente confirmará la adición.
7. Una vez que se agrega el proyecto, y será redirigido a la vista de 'proyectos'. Puede ver los 'detalles del proyecto' haciendo clic en el nombre del proyecto desde esta vista en cualquier momento. Además, en la página de 'Detalles del proyecto', puede establecer la configuración de escaneo y la política para las integraciones y conflictos de licencias basados ​​en eventos. 8a. Para escanear manualmente, haga clic en el botón 'Acciones' en el extremo derecho de la fila que contiene el proyecto agregado. Desde el menú desplegable que aparece, haga clic en 'Escanear'. 8b. Para activar escaneos cada vez que se realiza una solicitud de extracción en su repositorio de GitHub, vaya a los 'Detalles del proyecto' y debajo de la 'Configuración de escaneo' active el escaneo basado en eventos.
8. Una vez que se ha iniciado un escaneo, el estado del proyecto ahora cambiará a 'en ejecución'. Dependiendo del tamaño del proyecto, el escaneo puede tardar unos 10 minutos en terminar.
9. Haga clic en la pestaña 'Vulnerabilidades' en el menú del lado izquierdo. Ahora se le presentará una visión general 'por proyecto' y 'por tema' de las vulnerabilidades encontradas.
10. Para ver la lista de vulnerabilidades detectadas en un proyecto, haga clic en el enlace 'Ver' en la esquina de extremo derecho correspondiente al proyecto que desea ver en la pestaña 'By Project'.
11. Ahora se le mostrará una lista de vulnerabilidades que se encuentran en el último escaneo para el proyecto, y algunos detalles sobre el mismo.
12. Para ver los detalles relacionados con una vulnerabilidad particular encontrada en el último escaneo, haga clic en el enlace 'Ver' correspondiente a la vulnerabilidad. La página de detalles del problema le proporcionará más detalles, incluido el código vulnerable real y el código parchado (si está disponible).
13. Para ver posibles problemas de licencia, haga clic en la pestaña 'Licencias' en el menú del lado izquierdo. Ahora se le presentará una visión general 'por proyecto' y 'por licencia'.
14. Para ver la lista de la biblioteca y las licencias correspondientes detectadas en un proyecto, haga clic en el enlace 'Ver' en la esquina de extremo derecho correspondiente al proyecto que desea ver en la pestaña 'By Project'.
15. Ahora se le mostrará una lista de bibliotecas y sus licencias que se encuentran en el último escaneo para el proyecto, y algunos detalles sobre el mismo.