easy_sast

Easy_sast adalah wadah Docker untuk digunakan dalam pipa integrasi untuk mengirimkan artefak build aplikasi ke alat analisis statis. Ini telah dikembangkan dengan cara untuk berfungsi sebagai pola build untuk wadah lain yang dimaksudkan untuk memfasilitasi fungsionalitas yang serupa, dan secara alami terintegrasi dengan produk analisis statis Veracode.

• Fitur
• QuickStart
• Penggunaan
• Berkontribusi

Easy_sast tersedia dari Docker Hub dengan menjalankan docker pull seiso/easy_sast

Untuk penggunaan lanjutan dan informasi lebih lanjut, lihat wiki.

Basis kode ini dikembangkan sesuai dengan manifesto kasar . Dengan demikian, itu adalah:

• Mudah digunakan : Dengan opsi alur kerja dan konfigurasi yang secara intuitif memahami DevOps.
• Mudah dikonfigurasi : Default praktis, dan banyak opsi konfigurasi seperti file konfigurasi, variabel lingkungan, dan/atau argumen CLI.
• Kode yang jelas dan dapat dimengerti : Penggunaan petunjuk jenis secara teratur, argumen kata kunci, dan gaya kode yang dinormalisasi membuat pemahaman dengan niat kode menjadi mudah.
• Direkayasa kuat : Penanganan kesalahan, validasi keamanan otomatis, dan validasi yang meresap.
• 100% Diuji : 100% Cakupan Kode untuk Tes Unit pada Semua Komit.
• 100% diformat secara konsisten : serat Docker, Make, Yaml, dan Python pada semua komit.

Untuk membangun dan menjalankan proyek ini, kami sarankan Anda memiliki Docker 18.09 atau yang lebih baru, Find, Git, GNU Make, dan Python 3.

Untuk berintegrasi dengan Veracode, Anda harus:

• Dapat menghasilkan debug build dari aplikasi Anda.

• Miliki akun dan lisensi yang valid untuk menggunakan API produk SAST Veracode yang diuraikan di bawah ini.

• Miliki aplikasi di pusat analisis Veracode yang ingin Anda gunakan.

• Ekspor Kredensial Veracode Anda sebagai Variabel Lingkungan:

   export VERACODE_API_KEY_ID=EXAMPLE
   export VERACODE_API_KEY_SECRET=EXAMPLE
  

1. Bangun gambar Docker:

   make build

2. Jalankan wadah Docker, meneruskannya kredensial API Anda dan memasang direktori yang berisi artefak build Anda ke /membangun:

   docker run --env-file <( env | grep ^VERACODE_API_KEY_ ) -v " /path/to/build " :/build seiso/easy_sast:latest

Detail tambahan dan opsi konfigurasi diuraikan dalam penggunaan dan pada wiki.

usage: main.py [-h] [--config-file CONFIG_FILE] [--version]
               [--debug | --verbose]

optional arguments:
  -h, --help                          show this help message and exit
  --config-file CONFIG_FILE           specify a config file
  --version                           show program ' s version number and exit
  --debug                             enable debug level logging
  --verbose                           enable info level logging

Ada dua metode yang disarankan untuk meneruskan informasi ke easy_sast saat runtime:

1. Lulus variabel lingkungan untuk docker run menggunakan --env-file . Misalnya:

   docker run --env-file <( env | grep VERACODE_API_KEY_ ) -v " /path/to/build " :/build seiso/easy_sast:latest

2. Anda mungkin juga ingin meneruskan argumen ke ular python dalam wadah dengan menambahkan argumen Anda ke docker run . Misalnya:

   docker run -e VERACODE_API_KEY_ID=EXAMPLE -e VERACODE_API_KEY_SECRET=EXAMPLE seiso/easy_sast:latest --debug

Ingin belajar tentang penggunaan yang lebih maju, seperti mengoptimalkan SAST untuk permintaan tarik? Lihat wiki.

• Unggah API
• Hasil API

Perhatikan bahwa setidaknya pengguna Veracode Anda harus memiliki izin untuk mengakses API Unggah dan GetAppList.do Endpoint.

Jika Anda ingin melihat dukungan untuk lebih banyak API Veracode atau alur kerja untuk berinteraksi dengan API tersebut, buka masalah dan beri tahu kami!

1. Garpu repositori
2. Buat Cabang Fitur Melalui git checkout -b feature/description
3. Membuat perubahan Anda
4. Komit perubahan Anda melalui git commit -am 'Summarize the changes here'
5. Buat Permintaan Tarik Baru (How-to)