contrastscan action

Это действие GitHub позволяет вам использовать ведущий кодовый сканер Contrast Security (Contrast Scan), чтобы найти уязвимости в вашем коде. Действие сравнивает анализ сканирования кода PR с последним анализом сканирования кода филиала назначения. GitHub не выполняет проверку, если были введены новые уязвимости.

• Поддерживаемые языки: java, javascript и .net

Если вы не знакомы с действиями GitHub, прочтите документацию по действию GitHub, чтобы узнать, что такое действия GitHub и как их настроить. После чего выполните следующие шаги:

1. Настройте следующие секреты Github contrast_api_key, contrast_organization_id, contrast_auth_header и contrast_api_url

   

• CodeSec, в отличие от пользователей безопасности: извлечь детали аутентификации для секретов, используя CLI.

  • Инструкции по установке здесь: https://www.contrastsecurity.com/developer/codesec

  • Если вы новый пользователь, создайте учетную запись с командой «Contrast Auth»

  • Запустите команду «Contrast Config» в CLI, чтобы собрать необходимые учетные данные

    

• Пользователи лицензионной контрастной безопасности: получите данные аутентификации для секретов из меню «Настройки пользователей» в контрастном веб -интерфейсе: вам понадобится следующее

  • Идентификатор организации
  • Ваш ключ API
  • Заголовок авторизации
  • Вам также понадобится URL вашего контрастного хоста пользовательского интерфейса. Этот вход включает в себя раздел протокола URL (https: //).

  

2. Скопируйте образец рабочего процесса ниже и создайте ветвь вашего кода, чтобы добавить контрастное сканирование безопасности. Эта ветвь обычно расположена по адресу .github/workflows/build.yml

3. Обновите файл рабочего процесса, чтобы указать, когда должно быть выполнено действие (например, на pull_request, на push)

    on :
     # Trigger analysis when pushing to main or an existing pull requests.  Also trigger on
     # new pull requests
     push :
       branches :
         - main
     pull_request :
         types : [opened, synchronize, reopened]

4. Обновите FilePath в файле рабочего процесса, чтобы определить местоположение встроенного артефакта или файла для сканирования

    with :
      artifact : mypath/target/myartifact.jar 

5. Потерпеть неудачу в зависимости от тяжести уязвимости, обнаруженной установленной тяжесть (критическая/высокая/средняя или низкая) и не в состоянии истинности

        severity : high
        fail : true   

6. Чтобы GitHub перечислил уязвимости на вкладке «Безопасность репо», контрастное действие должно сопровождаться этим действием GitHub

       - name : Upload SARIF file
         uses : github/codeql-action/upload-sarif@v2
         with :
           sarif_file : results.sarif

   Значением sarif_file должно быть results.sarif SARIF, которое является названием, которое контрастное действие сканирует, напишет сариф.

7. После совершения, создайте запрос на вытягивание (PR), чтобы объединить обновление до вашей основной филиала. Создание PR запускает сканирование для запуска. Проверка дополнительного «сканирования кода» появляется в PR

Поскольку, вероятно, появятся новые выводы при добавлении контрастного сканирования, мы не хотим провалиться и блокировать слияние PR, который добавляет контрастное сканирование, заставляя владельца PR теперь исправить все недавно выявленные уязвимости, которые уже существовали в базе кода.

После контрастного сканирования запускается на основной филиале, все новые PR, которые вы создаете, когда контрастное сканирование выполняется. Не удалось.

Все секреты учетной записи, связанные с контрастностью, должны быть настроены как секреты GitHub и будут переданы сканеру через переменные среды в бегуне GitHub. Простой рабочий процесс, чтобы начать, - это:

 on :
  # Trigger analysis when pushing to main or an existing pull requests.  Also trigger on
  # new pull requests
  push :
    branches :
      - main
  pull_request :
      types : [opened, synchronize, reopened]
name : Contrast Security Scan
jobs :
  build_and_scan :
    permissions :
        contents : read # for actions/checkout
        security-events : write # for github/codeql-action/upload-sarif
        actions : read # only required for a private repository by github/codeql-action/upload-sarif to get the Action run status
    runs-on : ubuntu-latest
    # check out project
    steps :
    - uses : actions/checkout@v2
    # steps to build the artifact you want to scan
    # -name: Build Project
    # ...
    # Scan Artifact    
    - name : Contrast Scan Action
      uses : Contrast-Security-OSS/[email protected]
      with :
        artifact : mypath/target/myartifact.jar
        apiKey : ${{ secrets.CONTRAST_API_KEY }}
        orgId : ${{ secrets.CONTRAST_ORGANIZATION_ID }}
        authHeader : ${{ secrets.CONTRAST_AUTH_HEADER }}
        severity : high
        fail : true
    # To list vulnerabilities in the GitHub Security Tab of the repo include GitHub upload-sarif action
    # The value of `sarif_file` must be `results.sarif` 
    - name : Upload SARIF file
      uses : github/codeql-action/upload-sarif@v2
      with :
        sarif_file : results.sarif 

• Apikey - ключ API с контрастной платформы.
• Authheader - учетные данные авторизации пользователя от контраста.
• Оргид - идентификатор вашей организации в отличие от.
• Артефакт - артефакт для сканирования на контрастной платформе.

• Apiurl - URL -адрес хоста. Этот вход включает в себя раздел протокола URL (https: //). Значение по умолчанию - https://ce.contrastsecurity.com (Contrast Community Edition).
• Серьезность - Укажите тяжесть уязвимости. Значения для тяжести являются критическими, высокими, средними или низкими. Сбой также должен быть установлен на True, чтобы пройтись по чеку
• FAISH - При установке True выходит на нет проверку, если были обнаружены уязвимости, которые соответствуют, по крайней мере, указанному варианту тяжести.
• ProjectName - название проекта сканирования в отличие от. Если вы не указываете имя проекта, Contrast Scan использует имя файла артефакта для имени проекта.
• ProjectId - идентификатор вашего проекта в отличие от.
  • Если идентификатор проекта уже существует, Contrast Scan использует этот идентификатор вместо того, что вы указываете.
  • Если вы не указываете идентификатор проекта, Contrast Scan создает идентификатор проекта для указанного названия проекта.
• Тайм -аут - устанавливает определенный промежуток времени (в секундах) до начала функции. Тайм -аут по умолчанию составляет пять минут.

Это действие GitHub и контрастный плагин Maven выполняют то же самое. Вы не можете использовать оба одновременно. Например, если вы используете Maven для построения своего кода и запускаете org.contrastsecurity.maven: сканирование во время сборки не используйте действие контрастного сканирования.