user guide

Le Scantiste SCA est l'outil d'analyse du code source pour C / C ++ qui identifie les vulnérabilités et les problèmes de conformité relatifs à l'utilisation des composants open source dans vos projets et applications.

• Vulnérabilités - L'outil recherche des vulnérabilités connues (CVE) et des correctifs de sécurité par les développeurs (bogues de sécurité), ainsi que des matchs partiels pour les deux (clones vulnérables). Les outils offrent également des fixes de code potentiels pour les mêmes.
• Licences - L'outil recherche également les bibliothèques open source utilisées dans votre projet et vous alerte s'il existe des problèmes potentiels de conformité de licence, c'est-à-dire que si l'un des composants open source est autorisé d'une manière qui interdit votre cas d'utilisation (distribution, responsabilité, etc.), l'outil vous en informera.

1. Accédez à https://scantist.io
2. Connectez-vous à l'aide d'une configuration de compte GitHub pour vous.
3. Une fois que vous vous connectez, le tableau de bord de l'application vous sera présenté.
4. Pour scanner un projet, vous devez d'abord l'ajouter. Cliquez sur l'onglet «Projets» dans le menu de la barre gauche.
5. Cliquez sur le bouton vert «Gérer» à côté de l'en-tête «Projets» à mi-gauche de l'écran.
6. La liste des projets disponibles dans le compte de test GitHub sera désormais affichée. Cliquez sur le bouton «Ajouter» concernant les projets que vous souhaitez scanner - une fenêtre contextuelle confirmera l'ajout.
7. Une fois le projet ajouté, et vous serez redirigé vers la vue «Projets». Vous pouvez afficher les «détails du projet» en cliquant sur le nom du projet à partir de cette vue à tout moment. De plus, sur la page «Détails du projet», vous pouvez définir les paramètres de numérisation et la politique pour les intégrations et les conflits de licence axés sur les événements. 8A. Pour manuellement la numérisation, cliquez sur le bouton «Actions» à la fin de la ligne contenant le projet ajouté. Dans le menu déroulant qui apparaît, cliquez sur «scan». 8b. Pour déclencher des analyses à chaque fois qu'une demande de traction est effectuée dans votre référentiel GitHub, accédez aux «détails du projet» et sous les «paramètres de numérisation», activez l'analyse motivée par l'événement.
8. Une fois le scan initié, l'état du projet passera désormais à «l'exécution». Selon la taille du projet, il peut prendre environ 10 minutes pour que le scan se termine.
9. Cliquez sur l'onglet «Vulnérabilités» dans le menu de la barre gauche. Vous serez maintenant présenté avec un aperçu «par projet» et «par problème» des vulnérabilités trouvées.
10. Pour afficher la liste des vulnérabilités détectées dans un projet, cliquez sur le lien «Afficher» dans le coin droit correspondant au projet que vous souhaitez afficher dans l'onglet «par projet».
11. Vous serez maintenant affiché une liste de vulnérabilités trouvées dans le dernier scan pour le projet, et quelques détails à ce sujet.
12. Pour afficher les détails relatifs à une vulnérabilité particulière trouvée dans la dernière analyse, cliquez sur le lien «Afficher» correspondant à la vulnérabilité. La page Détails du numéro vous fournira plus de détails, y compris le code vulnérable réel et le code correctif (si disponible).
13. Pour afficher les problèmes de licence potentiels, cliquez sur l'onglet «Licences» dans le menu de la barre gauche. Vous serez maintenant présenté avec un aperçu «par projet» et «par licence».
14. Pour afficher la liste de la bibliothèque et les licences correspondantes détectées dans un projet, cliquez sur le lien «Afficher» dans le coin droit correspondant au projet que vous souhaitez afficher dans l'onglet «par projet».
15. Vous serez maintenant affiché une liste des bibliothèques et leurs licences trouvées dans le dernier scan pour le projet, et quelques détails à ce sujet.