easy_sast
1.0.0
Easy_Sastは、統合パイプラインで使用するDockerコンテナであり、アプリケーションのビルドアーティファクトを静的分析ツールに送信します。これは、同様の機能を促進するための他のコンテナのビルドパターンとして機能し、Veracodeの静的分析製品とネイティブに統合する方法で開発されています。
Easy_SastはDocker Hubからdocker pull seiso/easy_sast実行して入手できます
高度な使用法と詳細については、Wikiを参照してください。
このコードベースは、頑丈なマニフェストに沿って開発されました。そのため、それは次のとおりです。
このプロジェクトを構築および実行するには、Docker 18.09以降、Find、Git、GNU Make、およびPython 3を使用することをお勧めします。
Veracodeと統合するには、次のことが必要です。
アプリケーションのデバッグビルドを作成できます。
以下に概説するVeracodeのSAST製品APIを使用するための有効なアカウントとライセンスを持っています。
使用する予定のVeracodeの分析センターにアプリケーションを用意してください。
環境変数としてVeracode資格情報をエクスポートします。
export VERACODE_API_KEY_ID=EXAMPLE
export VERACODE_API_KEY_SECRET=EXAMPLE
make builddocker run --env-file <( env | grep ^VERACODE_API_KEY_ ) -v " /path/to/build " :/build seiso/easy_sast:latest追加の詳細と構成オプションは、使用法とWikiで概説されています。
usage: main.py [-h] [--config-file CONFIG_FILE] [--version]
[--debug | --verbose]
optional arguments:
-h, --help show this help message and exit
--config-file CONFIG_FILE specify a config file
--version show program ' s version number and exit
--debug enable debug level logging
--verbose enable info level logging実行時に情報をEasy_Sastに渡すための2つの推奨方法があります。
docker run --env-file使用してdockerに渡します。例えば: docker run --env-file <( env | grep VERACODE_API_KEY_ ) -v " /path/to/build " :/build seiso/easy_sast:latestdocker runに引数を追加することにより、コンテナ内のPythonに引数を渡すこともできます。例えば: docker run -e VERACODE_API_KEY_ID=EXAMPLE -e VERACODE_API_KEY_SECRET=EXAMPLE seiso/easy_sast:latest --debugプルリクエストのためにSASTを最適化するなど、より高度な使用について学びたいですか? wikiをチェックしてください。
最低限のVeracodeユーザーは、アップロードAPIとそのgetApplist.doエンドポイントにアクセスする許可を持たなければならないことに注意してください。
これらのAPIと対話するためのより多くのVeracode APIまたはワークフローのサポートをご覧になりたい場合は、問題を開いてお知らせください!
git checkout -b feature/descriptionを介して機能ブランチを作成しますgit commit -am 'Summarize the changes here'
