security code scan

Les versions officielles sont disponibles sous forme de package NuGet, d'extension Visual Studio et de coureur autonome.

 git clone https://github.com/security-code-scan/security-code-scan.git
cd security-code-scan

Open SecurityCodeScan.sln dans Visual Studio ou Build à partir de la ligne de commande:

 nuget restore SecurityCodeScan.sln
msbuild SecurityCodeScan.sln

• Toutes les documents du site officiel sont open-source et situés dans le dossier du site Web. N'hésitez pas à modifier les fichiers Markdown et à y contribuer.
• Vous pouvez personnaliser le comportement de la numérisation du code de sécurité en créant un fichier de configuration local comme décrit dans la section ExternalConfigurationfiles. Il est facile d'ajouter de nouvelles fonctions vulnérables (puits) qui devraient déclencher un avertissement, définir des sources non fiables, etc. Une fois que vous pensez avoir un fichier de configuration de travail, vous êtes invité à apporter vos modifications au fichier de configuration intégré principal. Idéalement, votre demande de traction est livrée avec des tests qui couvrent les modifications.
• Passez en revue la liste des problèmes disponibles. La compréhension générale de Roslyn pourrait être pratique:
  • Utilisez Roslyn pour écrire un analyseur de code en direct pour votre API
  • Début avec les analyseurs de Roslyn
  • "Apprenez Roslyn Now" par Josh Varty
  • Visualiseur d'arbre de syntaxe en ligne

La plupart des tests sont écrits en deux langues: C # et VB.NET. Si vous n'êtes pas un expert en VB.net (moi ni l'un ni l'autre), utilisez un convertisseur en ligne pour créer l'exemple de code C # testé.
Les tests sont idéaux pour développer des fonctionnalités et corriger les bogues car il est facile de déboguer.

Dans le cas où vous n'êtes pas sûr de ce qui ne va pas ou que vous voyez une erreur AD0001 avec une exception, il est possible de déboguer l'analyse de la solution problématique de Visual Studio.

Visual Studio décharge certaines analyses statiques fonctionnent à un processus distinct. C'est une bonne idée de décommenter les lignes pour avoir une chance de déboguer le processus de l'enfant.

Tout d'abord, assurez-vous qu'il n'y a pas d'extensions de studio visuelles de numérisation de code de sécurité installées pour éviter les interférences.
Clic droit SecurityCodeScan.Vsix du projet dans la solution et choisissez Set as StartUp project .
Commencez à déboguer dans Visual Studio. Il ouvrira une autre instance de Visual Studio avec le débogueur attaché.
Ouvrez la solution avec la source problématique.