easy_sast

Easy_Sast est un conteneur Docker à utiliser dans les pipelines d'intégration pour soumettre des artefacts de construction d'une application à un outil d'analyse statique. Cela a été développé de manière à servir de modèle de construction pour d'autres conteneurs destinés à faciliter des fonctionnalités similaires et s'intègre nativement au produit d'analyse statique de Veracode.

• Caractéristiques
• Start
• Usage
• Contributif

Easy_Sast est disponible auprès de Docker Hub en exécutant docker pull seiso/easy_sast

Pour une utilisation avancée et plus d'informations, consultez le wiki.

Cette base de code a été développée conformément au manifeste robuste . En tant que tel, c'est:

• Simple à utiliser : avec des options et des configurations de workflow qui comprennent intuitivement les DevOps.
• Facilement configurable : paramètres pratiques et de nombreuses options de configuration telles qu'un fichier de configuration, des variables d'environnement et / ou des arguments CLI.
• Code clair et compréhensible : Utilisation régulière des astuces de type, des arguments de mots clés et un style de code normalisé facilitent la compréhension de l'intention de code.
• Conçu pour être robuste : gestion des erreurs, validation de sécurité automatisée et validation omniprésente.
• Testé à 100% : couverture de code à 100% pour les tests unitaires sur tous les commits.
• 100% formaté de manière cohérente : libellé de Docker, Make, Yaml et Python sur tous les validations.

Afin de construire et d'exécuter ce projet, nous vous recommandons d'avoir Docker 18.09 ou plus récent, Find, Git, GNU Make et Python 3.

Afin de s'intégrer à Veracode, vous devrez:

• Être en mesure de produire une construction de débogage de votre demande.

• Ayez un compte valide et une licence pour utiliser les API du produit Sast de Veracode ci-dessous.

• Ayez une application dans le centre d'analyse de Veracode que vous avez l'intention d'utiliser.

• Exportez vos informations d'identification Veracode comme variables d'environnement:

   export VERACODE_API_KEY_ID=EXAMPLE
   export VERACODE_API_KEY_SECRET=EXAMPLE
  

1. Construisez l'image Docker:

   make build

2. Exécutez le conteneur Docker, en le faisant passer vos informations d'identification API et en montant le répertoire contenant vos artefacts de construction dans / build:

   docker run --env-file <( env | grep ^VERACODE_API_KEY_ ) -v " /path/to/build " :/build seiso/easy_sast:latest

Des détails supplémentaires et des options de configuration sont décrits dans l'utilisation et sur le wiki.

usage: main.py [-h] [--config-file CONFIG_FILE] [--version]
               [--debug | --verbose]

optional arguments:
  -h, --help                          show this help message and exit
  --config-file CONFIG_FILE           specify a config file
  --version                           show program ' s version number and exit
  --debug                             enable debug level logging
  --verbose                           enable info level logging

Il existe deux méthodes recommandées pour transmettre des informations dans Easy_Sast au moment de l'exécution:

1. Passer les variables d'environnement à docker run en utilisant --env-file . Par exemple:

   docker run --env-file <( env | grep VERACODE_API_KEY_ ) -v " /path/to/build " :/build seiso/easy_sast:latest

2. Vous pouvez également passer un argument au Python dans le conteneur en ajoutant vos arguments à docker run . Par exemple:

   docker run -e VERACODE_API_KEY_ID=EXAMPLE -e VERACODE_API_KEY_SECRET=EXAMPLE seiso/easy_sast:latest --debug

Vous voulez en savoir plus sur l'utilisation plus avancée, comme l'optimisation de Sast pour les demandes de traction? Découvrez le wiki.

• Télécharger l'API
• API Résultats

Notez qu'au minimum, votre utilisateur Veracode doit avoir la permission d'accéder à l'API de téléchargement et à son point de terminaison GetAppList.do.

Si vous souhaitez voir la prise en charge de plus d'API ou de flux de travail Veracode pour interagir avec ces API, veuillez ouvrir un problème et faites-le nous savoir!

1. Fourchez le référentiel
2. Créer une branche de fonctionnalité via git checkout -b feature/description
3. Apporter vos modifications
4. Commissez vos modifications via git commit -am 'Summarize the changes here'
5. Créer une nouvelle demande de traction (comment)