概述
Scaantist SCA是C/C ++的源代码分析工具,它标识了与您的项目和应用程序中使用开源组件有关的漏洞和合规性问题。
- 漏洞 - 该工具寻找已知漏洞(CVE)和开发人员列点的安全修复程序(安全错误),以及两个(脆弱的克隆)的部分匹配。这些工具还提供了相同的潜在代码修复。
- 许可证 - 该工具还寻找项目中使用的开源库,并提醒您是否存在任何潜在的许可合规性问题,即如果任何开源组件都以不承认您的用例(分发,责任等)的方式获得许可,则该工具将通知您。
用户指南
- 导航到https://scantist.io
- 使用为您设置的GitHub帐户登录。
- 登录后,将向您展示应用程序仪表板。
- 要扫描项目,您必须先添加它。单击左侧键菜单上的“项目”选项卡。
- 单击屏幕左中间“项目”标头旁边的绿色“管理”按钮。
- 现在将显示测试GitHub帐户中可用项目的列表。单击与您希望扫描的项目有关的“添加”按钮 - 弹出窗口将确认添加。
- 一旦添加了项目,您将重定向到“项目”视图。您可以随时单击此视图的项目名称来查看“项目详细信息”。另外,在“项目详细信息”页面上,您可以为事件驱动的集成和许可冲突设置扫描设置和策略。 8a。要手动扫描,请单击包含添加项目的行的右端的“操作”按钮。从出现的下拉菜单中,单击“扫描”。 8b。要触发每次对您的Github存储库进行抽拉架的扫描,请转到“项目详细信息”,然后在“扫描设置”下打开事件驱动的扫描。
- 扫描启动后,该项目的状态现在将变为“运行”。根据项目的大小,扫描完成大约需要10分钟。
- 单击左侧键菜单上的“漏洞”选项卡。现在,您将获得“ by项目”和“问题”概述的概述。
- 要查看项目中检测到的漏洞列表,请单击与您希望在“ By Project”选项卡中查看的项目相对应的右端角的“视图”链接。
- 现在,您将在该项目的最新扫描中显示出漏洞的列表,以及有关该项目的一些详细信息。
- 要查看与最新扫描中发现的特定漏洞有关的详细信息,请单击与漏洞相对应的“视图”链接。 “问题详细信息”页面将为您提供更多详细信息,包括实际的脆弱代码和修补的代码(如果可用)。
- 要查看潜在的许可问题,请单击左侧键菜单上的“许可”选项卡。现在,您将获得“项目”和“许可证”概述。
- 要查看项目中检测到的库列表和相应的许可证,请单击与您希望在“ By Project”选项卡中查看的项目相对应的右端角处的“视图”链接。
- 现在,您将在该项目的最新扫描中显示库及其许可证列表,以及有关该库的一些详细信息。
