contrastscan action

Tindakan GitHub ini memungkinkan Anda menggunakan pemindai kode terkemuka industri (pemindaian kontras) untuk menemukan kerentanan dalam kode Anda. Tindakan ini membandingkan analisis pemindaian kode PR dengan analisis pemindaian kode terakhir dari cabang tujuan. GitHub gagal cek jika kerentanan baru telah diperkenalkan.

• Bahasa yang Didukung: Java, JavaScript dan .net

Jika Anda tidak terbiasa dengan tindakan GitHub, baca dokumentasi tindakan GitHub untuk mempelajari tindakan github apa itu dan bagaimana mengaturnya. Setelah itu, selesaikan langkah -langkah berikut:

1. Konfigurasikan rahasia github berikut kontras_api_key, kontras_organization_id, kontras_auth_header dan kontras_api_url

   

• Codesec B atas kontras pengguna keamanan: Ambil detail otentikasi untuk rahasia menggunakan CLI.

  • Instalasi Instalasi Di Sini: https://www.contrastsecurity.com/developer/codesec

  • Jika Anda adalah pengguna baru, buat akun dengan perintah 'kontras auth'

  • Jalankan perintah 'kontras konfigurasi' di CLI untuk mengumpulkan kredensial yang diperlukan

    

• Pengguna Keamanan Kontras Berlisensi: Dapatkan detail otentikasi Anda untuk rahasia dari menu 'Pengaturan Pengguna' di Antarmuka Web Kontras: Anda akan memerlukan yang berikut ini

  • ID Organisasi
  • Kunci API Anda
  • Header otorisasi
  • Anda juga akan membutuhkan URL host UI kontras Anda. Input ini mencakup bagian protokol URL (https: //).

  

2. Salin alur kerja sampel di bawah ini dan buat cabang kode Anda untuk menambahkan pemindaian keamanan kontras. Cabang ini biasanya terletak di .github/workflows/build.yml

3. Perbarui file alur kerja untuk menentukan kapan tindakan harus dijalankan (misalnya pada pull_request, pada push)

    on :
     # Trigger analysis when pushing to main or an existing pull requests.  Also trigger on
     # new pull requests
     push :
       branches :
         - main
     pull_request :
         types : [opened, synchronize, reopened]

4. Perbarui FilePath dalam file alur kerja untuk menentukan lokasi artefak atau file yang dibangun untuk memindai

    with :
      artifact : mypath/target/myartifact.jar 

5. Gagal berdasarkan tingkat keparahan kerentanan yang ditemukan seterpul tingkat keparahan (kritis/tinggi/sedang atau rendah) dan gagal menjadi benar

        severity : high
        fail : true   

6. Agar GitHub dapat mencantumkan kerentanan di tab Keamanan Repo, tindakan kontras harus disertai dengan tindakan GitHub ini

       - name : Upload SARIF file
         uses : github/codeql-action/upload-sarif@v2
         with :
           sarif_file : results.sarif

   Nilai sarif_file harus results.sarif .

7. Setelah berkomitmen, buat permintaan tarik (PR) untuk menggabungkan pembaruan kembali ke cabang utama Anda. Membuat PR memicu pemindaian untuk dijalankan. Pemeriksaan "pemindaian kode" tambahan muncul di PR

Karena kemungkinan akan ada temuan baru ketika Anda menambahkan pemindaian kontras, kami tidak ingin gagal dan memblokir penggabungan PR yang menambahkan pemindaian kontras, memaksa pemilik PR untuk sekarang memperbaiki semua kerentanan yang baru diekspos yang sudah ada di basis kode.

Setelah pemindaian kontras berjalan di cabang utama, semua PR baru yang Anda buat di mana pemindaian kontras dijalankan gagal pemeriksaan pemindaian kode jika mereka memperkenalkan kerentanan baru di luar garis dasar yang baru saja Anda buat.

Semua rahasia akun terkait kontras harus dikonfigurasi sebagai rahasia github dan akan diteruskan ke pemindai melalui variabel lingkungan di Github Runner. Alur kerja sederhana untuk melanjutkan adalah:

 on :
  # Trigger analysis when pushing to main or an existing pull requests.  Also trigger on
  # new pull requests
  push :
    branches :
      - main
  pull_request :
      types : [opened, synchronize, reopened]
name : Contrast Security Scan
jobs :
  build_and_scan :
    permissions :
        contents : read # for actions/checkout
        security-events : write # for github/codeql-action/upload-sarif
        actions : read # only required for a private repository by github/codeql-action/upload-sarif to get the Action run status
    runs-on : ubuntu-latest
    # check out project
    steps :
    - uses : actions/checkout@v2
    # steps to build the artifact you want to scan
    # -name: Build Project
    # ...
    # Scan Artifact    
    - name : Contrast Scan Action
      uses : Contrast-Security-OSS/[email protected]
      with :
        artifact : mypath/target/myartifact.jar
        apiKey : ${{ secrets.CONTRAST_API_KEY }}
        orgId : ${{ secrets.CONTRAST_ORGANIZATION_ID }}
        authHeader : ${{ secrets.CONTRAST_AUTH_HEADER }}
        severity : high
        fail : true
    # To list vulnerabilities in the GitHub Security Tab of the repo include GitHub upload-sarif action
    # The value of `sarif_file` must be `results.sarif` 
    - name : Upload SARIF file
      uses : github/codeql-action/upload-sarif@v2
      with :
        sarif_file : results.sarif 

• Apikey - Kunci API dari platform kontras.
• Authheader - Kredensial otorisasi pengguna dari kontras.
• Orgid - ID dari organisasi Anda kontras.
• Artefact - Artefak untuk memindai platform kontras.

• APIURL - URL tuan rumah. Input ini mencakup bagian protokol URL (https: //). Nilai default adalah https://ce.contrastsecurity.com (Edisi Komunitas Kontras).
• keparahan - tentukan keparahan kerentanan. Nilai keparahan sangat penting, tinggi, sedang atau rendah. Gagal juga harus diatur ke true untuk gagal cek
• Gagal - Ketika diatur ke true, gagal cek jika kerentanan telah terdeteksi yang cocok dengan setidaknya opsi keparahan yang ditentukan.
• ProjectName - nama proyek pemindaian kontras. Jika Anda tidak menentukan nama proyek, SCAN Kontras menggunakan nama file artefak untuk nama proyek.
• ProjectId - ID proyek Anda sebaliknya.
  • Jika ID Proyek sudah ada, Contrast SCAN menggunakan ID itu alih -alih yang Anda tentukan.
  • Jika Anda tidak menentukan ID proyek, Contrast Scan membuat ID proyek untuk nama proyek yang ditentukan.
• Timeout - Mengatur rentang waktu tertentu (dalam detik) sebelum fungsi waktu keluar. Batas waktu default adalah lima menit.

Tindakan GitHub ini dan plugin Maven kontras ini mencapai hal yang sama. Anda tidak dapat menggunakan keduanya secara bersamaan. Misalnya, jika Anda menggunakan Maven untuk membangun kode Anda dan Anda menjalankan org.contrastsecurity.maven: Pindai selama build, jangan gunakan aksi GitHub pemindaian kontras.