actions log4j

log4j 1.xと2.xの両方に影響を与えるLOG4J脆弱性のすべてのバージョンのJavaソースコードを分析するGitHubアクション。 https://logging.apache.org/log4j/2.x/security.htmlで影響を受けるLog4Jのすべてのバージョンの詳細については、詳細をお読みください。

 name: Example Workflow Using the SecureStack log4j scanning Action
on: push
jobs:
  security:
    runs-on: ubuntu-latest
    steps:
      - name: Checkout repo for running log4j analysis
        id: checkout
        uses: actions/[email protected]
        with:
          fetch-depth: 0
      - name: Log4j Scanning Step
        id: log4j
        uses: SecureStackCo/[email protected]
        with:
          securestack_api_key: ${{ secrets.SECURESTACK_API_KEY }}
          securestack_app_id: ${{ secrets.SECURESTACK_APP_ID }}
          severity: critical

1. GitHub資格情報を使用してSecureStackアカウントを作成します。 20回のスキャンを無料で取得し、クレジットカードを追加する必要はありません。
2. ログインしたら、左側の黒い引き出しの「設定」に移動し、次に - > APIタブに移動します。
3. APIキーを生成し、値をコピーします。
4. githubリポジトリの設定に移動し、秘密をクリックします - >左下のアクション。
5. secureStack_api_keyという名前の新しい秘密を作成し、ステップ2からフィールドに値を貼り付けます。

1. SecureStackにログインします。
2. 分析するアプリケーションを開きます。管理されたアプリケーションを作成していない場合は、このビデオの指示に従って作成することができます。
3. [表示]アプリケーション画面にアプリケーションIDの値をコピーします。
4. githubリポジトリの設定に移動し、秘密をクリックします - >左下のアクション。
5. SecureStack_App_IDという名前の新しい秘密を作成し、ステップ3からフィールドに値を貼り付けます。

1. SecureStack Secrets Analysis-埋め込みAPIキー、資格情報、およびセンスティブデータのアプリケーションをスキャンします。
2. SecureStackソフトウェア構成分析（SCA） - 脆弱なサードパーティおよびオープンソースライブラリをアプリケーションをスキャンします。
3. SecureStack Webの脆弱性とクラウドのミスコーンフィギュア分析 - クラウドの誤解とWebの脆弱性については、実行中のアプリケーションURLをスキャンします。

https://www.youtube.com/watch?v=yrpitqny9um&list=pl_8xjyi5rinxzhpqkdripipmaj0lt6pj8

で作られていますか？ SecureStackによって