概要
Scantist SCAは、プロジェクトとアプリケーションでのオープンソースコンポーネントの使用に関する脆弱性とコンプライアンスの問題を特定するC/C ++のソースコード分析ツールです。
- 脆弱性 - このツールは、既知の脆弱性(CVE)と開発者がパッチしたセキュリティ修正(セキュリティバグ)、ならびに2つの部分(脆弱なクローン)の部分マッチを探します。また、ツールは同じコードフィックスを提供します。
- ライセンス - このツールは、プロジェクトで使用されるオープンソースライブラリも探します。また、潜在的なライセンスコンプライアンスの問題がある場合、オープンソースコンポーネントのいずれかが使用ケース(配布、責任など)を許可する方法でライセンスされている場合に警告します。
ユーザーガイド
- https://scantist.ioに移動します
- GitHubアカウントのセットアップを使用してログインします。
- ログインすると、アプリケーションダッシュボードが表示されます。
- プロジェクトをスキャンするには、最初に追加する必要があります。左側のメニューの[プロジェクト]タブをクリックします。
- 画面の左半ばに「プロジェクト」ヘッダーの横にあるグリーン「管理」ボタンをクリックします。
- テストGitHubアカウントで利用可能なプロジェクトのリストが表示されます。スキャンするプロジェクトに関する[追加]ボタンをクリックします。ポップアップが追加を確認します。
- プロジェクトが追加されると、「プロジェクト」ビューにリダイレクトされます。いつでもこのビューからプロジェクト名をクリックして、「プロジェクトの詳細」を表示できます。また、「プロジェクトの詳細」ページで、イベント主導型の統合とライセンス競合のためのスキャン設定とポリシーを設定することができます。 8a。スキャンするには、追加されたプロジェクトを含む行の右端にある[アクション]ボタンをクリックします。表示されるドロップダウンメニューから、[スキャン]をクリックします。 8b。 GitHubリポジトリにプルレクストが作成されるたびにスキャンをトリガーするには、「プロジェクトの詳細」に移動し、「スキャン設定」の下でイベント駆動型スキャンを行います。
- スキャンが開始されると、プロジェクトのステータスが「実行中」に変更されます。プロジェクトのサイズによっては、スキャンが終了するまでに約10分かかる場合があります。
- 左側のメニューの[脆弱性]タブをクリックします。これで、見つかった脆弱性の「プロジェクトごと」と「問題による」概要が表示されます。
- プロジェクトで検出された脆弱性のリストを表示するには、[プロジェクトごと]タブで表示するプロジェクトに対応する右端のコーナーの[表示]リンクをクリックします。
- これで、プロジェクトの最新のスキャンで見つかった脆弱性のリストと、同じことに関するいくつかの詳細が表示されます。
- 最新のスキャンで見つかった特定の脆弱性に関する詳細を表示するには、脆弱性に対応する「表示」リンクをクリックします。問題の詳細ページでは、実際の脆弱なコードやパッチ付きコード(利用可能な場合)を含む詳細を提供します。
- 潜在的なライセンスの問題を表示するには、左側のメニューの[ライセンス]タブをクリックします。これで、「プロジェクトごと」と「ライセンス」の概要が表示されます。
- プロジェクトで検出されたライブラリと対応するライセンスのリストを表示するには、[プロジェクトごと]タブで表示するプロジェクトに対応する右端のコーナーの[表示]リンクをクリックします。
- これで、プロジェクトの最新のスキャンで見つかったライブラリとそのライセンスのリスト、および同じことに関するいくつかの詳細が表示されます。
