easy_sast

Easy_Sast é um contêiner do Docker para uso em oleodutos de integração para enviar os artefatos de compilação de um aplicativo para uma ferramenta de análise estática. Isso foi desenvolvido de maneira a servir como um padrão de construção para outros contêineres destinados a facilitar funcionalidade semelhante e integra -se nativamente ao produto de análise estática da Veracode.

• Características
• Investir rápido
• Uso
• Contribuindo

Easy_Sast está disponível no Docker Hub executando docker pull seiso/easy_sast

Para uso avançado e mais informações, consulte o wiki.

Essa base de código foi desenvolvida de acordo com o manifesto acidentado . Como tal, é:

• Simples de usar : com opções de fluxo de trabalho e configurações que entendem intuitivamente o DevOps.
• Facilmente configurável : padrões práticos e inúmeras opções de configuração, como um arquivo de configuração, variáveis ​​de ambiente e/ou argumentos da CLI.
• Código claro e compreensível : o uso regular de dicas de tipo, argumentos de palavras -chave e um estilo de código normalizado facilita a compreensão da intenção do código.
• Projetado para ser robusto : manuseio de erros, validação de segurança automatizada e validação difundida.
• 100% testado : 100% de cobertura de código para testes de unidade em todas as confirmações.
• 100% formatado consistentemente : linhagem de docker, make, yaml e python em todos os compromissos.

Para construir e executar este projeto, recomendamos que você tenha o Docker 18.09 ou mais recente, encontre, Git, GNU Make e Python 3.

Para se integrar ao Veracode, você precisará:

• Ser capaz de produzir uma construção de depuração do seu aplicativo.

• Tenha uma conta e licença válidas para usar as APIs de produto SAST da Veracode descritas abaixo.

• Tenha um aplicativo no Centro de Análise da Veracode que você pretende usar.

• Export suas credenciais de veracode como variáveis ​​de ambiente:

   export VERACODE_API_KEY_ID=EXAMPLE
   export VERACODE_API_KEY_SECRET=EXAMPLE
  

1. Construa a imagem do Docker:

   make build

2. Execute o contêiner do Docker, passando suas credenciais de API e montando o diretório que contém seus artefatos de construção em /Build:

   docker run --env-file <( env | grep ^VERACODE_API_KEY_ ) -v " /path/to/build " :/build seiso/easy_sast:latest

Detalhes adicionais e opções de configuração são descritos no uso e no wiki.

usage: main.py [-h] [--config-file CONFIG_FILE] [--version]
               [--debug | --verbose]

optional arguments:
  -h, --help                          show this help message and exit
  --config-file CONFIG_FILE           specify a config file
  --version                           show program ' s version number and exit
  --debug                             enable debug level logging
  --verbose                           enable info level logging

Existem dois métodos recomendados para transmitir informações para easy_sast em tempo de execução:

1. Passe as variáveis ​​de ambiente para docker run usando --env-file . Por exemplo:

   docker run --env-file <( env | grep VERACODE_API_KEY_ ) -v " /path/to/build " :/build seiso/easy_sast:latest

2. Você também pode transmitir um argumento para o Python no contêiner, anexando seus argumentos ao docker run . Por exemplo:

   docker run -e VERACODE_API_KEY_ID=EXAMPLE -e VERACODE_API_KEY_SECRET=EXAMPLE seiso/easy_sast:latest --debug

Deseja aprender sobre o uso mais avançado, como otimizar o SAST para solicitações de tração? Confira o wiki.

• Carregar API
• API de resultados

Observe que, no mínimo, o usuário do Veracode deve ter permissão para acessar a API de upload e seu ponto final getApplist.do.

Se você quiser ver o suporte para mais APIs ou fluxos de trabalho do Veracode para interagir com essas APIs, abra um problema e informe -nos!

1. Fork o repositório
2. Crie uma filial de recursos via git checkout -b feature/description
3. Faça suas alterações
4. Compreenda suas mudanças via git commit -am 'Summarize the changes here'
5. Crie uma nova solicitação de tração (instruções)