easy_sast
1.0.0
Easy_sast是一个用于集成管道中的Docker容器,将应用程序的构建工件提交给静态分析工具。这是以一种旨在促进类似功能的其他容器的构建模式来开发的,并与Veracode的静态分析产品一起本地集成。
easy_sast可以通过运行docker pull seiso/easy_sast从Docker Hub获得
有关高级用法和更多信息,请参见Wiki。
该代码基础是根据崎visto的宣言而开发的。因此,是:
为了构建和运行此项目,我们建议您拥有Docker 18.09或更新,查找,Git,Gnu Make和Python 3。
为了与VeraCode集成,您需要:
能够生成您的应用程序的调试构建。
拥有一个有效的帐户和许可证,可以使用下面概述的Veracode的SAST产品API。
在您打算使用的Veracode分析中心中有一个应用程序。
将您的Veracode凭据导出为环境变量:
export VERACODE_API_KEY_ID=EXAMPLE
export VERACODE_API_KEY_SECRET=EXAMPLE
make builddocker run --env-file <( env | grep ^VERACODE_API_KEY_ ) -v " /path/to/build " :/build seiso/easy_sast:latest在用法和Wiki中概述了其他详细信息和配置选项。
usage: main.py [-h] [--config-file CONFIG_FILE] [--version]
[--debug | --verbose]
optional arguments:
-h, --help show this help message and exit
--config-file CONFIG_FILE specify a config file
--version show program ' s version number and exit
--debug enable debug level logging
--verbose enable info level logging有两种建议的方法将信息传递到运行时easy_sast:
--env-file docker run 。例如: docker run --env-file <( env | grep VERACODE_API_KEY_ ) -v " /path/to/build " :/build seiso/easy_sast:latestdocker run中,将论点传递给容器中的Python。例如: docker run -e VERACODE_API_KEY_ID=EXAMPLE -e VERACODE_API_KEY_SECRET=EXAMPLE seiso/easy_sast:latest --debug是否想了解更高级的用法,例如优化拉动请求的SAST?查看Wiki。
请注意,至少您的VeraCode用户必须有权访问上传API及其getApplist.do端点。
如果您想看到更多的Veracode API或工作流程与这些API进行交互的支持,请打开一个问题并告诉我们!
git checkout -b feature/description创建功能分支git commit -am 'Summarize the changes here'
