easy_sast

Easy_SAST - это контейнер Docker для использования в интеграционных трубопроводах, чтобы отправить артефакты сборки приложения в инструмент статического анализа. Это было разработано таким образом, чтобы служить схемой сборки для других контейнеров, предназначенных для облегчения аналогичной функциональности, и изначально интегрируется со статическим анализом Veracode.

• Функции
• QuickStart
• Использование
• Внося

easy_sast доступен в Docker Hub, используя docker pull seiso/easy_sast

Для расширенного использования и дополнительной информации см. Вики.

Эта база кода была разработана в соответствии с бурным манифестом . Таким образом, это:

• Простое в использовании : с параметрами рабочего процесса и конфигурациями, которые интуитивно понимают DevOps.
• Легко настраивается : практические значения по умолчанию и многочисленные параметры конфигурации, такие как файл конфигурации, переменные среды и/или аргументы CLI.
• Очистенный и понятный код : регулярное использование типовых подсказок, аргументов ключевых слов и нормализованный стиль кода облегчает понимание кода намерения.
• Спроектировано, чтобы быть надежным : обработка ошибок, автоматическая проверка безопасности и распространенная проверка.
• 100% протестировано : 100% покрытие кода для модульных тестов на All Commits.
• 100% последовательно отформатировано : подкладка Docker, Make, Yaml и Python на всех коммитах.

Чтобы создать и запустить этот проект, мы рекомендуем вам иметь Docker 18.09 или более новее, Find, Git, GNU Make и Python 3.

Чтобы интегрироваться с Veracode, вам нужно:

• Иметь возможность создать отладочную сборку вашего приложения.

• Иметь действительную учетную запись и лицензию на использование API SAST Product VeraCode, изложенные ниже.

• Иметь приложение в аналитическом центре VeraCode, которое вы собираетесь использовать.

• Экспортируйте свои учетные данные Veracode в качестве переменных среды:

   export VERACODE_API_KEY_ID=EXAMPLE
   export VERACODE_API_KEY_SECRET=EXAMPLE
  

1. Создайте изображение Docker:

   make build

2. Запустите контейнер Docker, передав его ваши учетные данные API и устанавливая каталог, содержащий ваши артефакты сборки в /сборку:

   docker run --env-file <( env | grep ^VERACODE_API_KEY_ ) -v " /path/to/build " :/build seiso/easy_sast:latest

Дополнительные данные и параметры конфигурации изложены в использовании и в вики.

usage: main.py [-h] [--config-file CONFIG_FILE] [--version]
               [--debug | --verbose]

optional arguments:
  -h, --help                          show this help message and exit
  --config-file CONFIG_FILE           specify a config file
  --version                           show program ' s version number and exit
  --debug                             enable debug level logging
  --verbose                           enable info level logging

Есть два рекомендуемых метода для передачи информации в easy_sast во время выполнения:

1. Пересечь переменные среды в docker run с помощью --env-file . Например:

   docker run --env-file <( env | grep VERACODE_API_KEY_ ) -v " /path/to/build " :/build seiso/easy_sast:latest

2. Вы также можете передать аргумент в Python в контейнере, добавив свои аргументы к docker run . Например:

   docker run -e VERACODE_API_KEY_ID=EXAMPLE -e VERACODE_API_KEY_SECRET=EXAMPLE seiso/easy_sast:latest --debug

Хотите узнать о более продвинутом использовании, таком как оптимизация SAST для запросов на привлечение? Проверьте вики.

• Загрузить API
• Результаты API

Обратите внимание, что, как минимум, ваш пользователь VeraCode должен иметь разрешение на доступ к API загрузки и его getApplist.do Endpoint.

Если вы хотите увидеть поддержку большего количества API или рабочих процессов Veracode для взаимодействия с этими API, откройте проблему и сообщите нам об этом!

1. Вилка репозитория
2. Создать филиал функции через git checkout -b feature/description
3. Внесите свои изменения
4. Сделайте свои изменения через git commit -am 'Summarize the changes here'
5. Создайте новый запрос на привлечение (как это сделать)