actions log4j

GITHUB操作，分析您的Java源代码的所有版本的Log4J漏洞，这些版本都会影响Log4J 1.x和2.x。您可以在此处阅读有关Log4J的所有版本的更多信息：https：//logging.apache.org/log4j/2.x/security.html

 name: Example Workflow Using the SecureStack log4j scanning Action
on: push
jobs:
  security:
    runs-on: ubuntu-latest
    steps:
      - name: Checkout repo for running log4j analysis
        id: checkout
        uses: actions/[email protected]
        with:
          fetch-depth: 0
      - name: Log4j Scanning Step
        id: log4j
        uses: SecureStackCo/[email protected]
        with:
          securestack_api_key: ${{ secrets.SECURESTACK_API_KEY }}
          securestack_app_id: ${{ secrets.SECURESTACK_APP_ID }}
          severity: critical

1. 使用您的GitHub凭据创建一个Securestack帐户。您可以免费获得20次扫描，而无需添加信用卡。
2. 登录后，请转到左侧的黑色抽屉中的“设置”，然后 - > API选项卡。
3. 生成一个API键并复制值。
4. 转到github存储库的设置，然后单击左下方的秘密 - >操作。
5. 创建一个名为Securestack_api_key的新秘密，并将其从步骤2粘贴到字段中。

1. 登录到SecurEstack。
2. 打开您希望分析的应用程序。如果您尚未创建托管应用程序，则可以按照此视频中的说明进行创建。
3. 在视图应用程序屏幕上复制应用程序ID的值。
4. 转到github存储库的设置，然后单击左下方的秘密 - >操作。
5. 创建一个名为Securestack_app_id的新秘密，并将其从步骤3粘贴到字段中。

1. SecurEstack Secrets分析 - 扫描您的嵌入式API密钥，凭据和SENSTIVE数据的申请。
2. SecurEstack软件组成分析（SCA） - 扫描您的易受攻击的第三方和开源库。
3. SecurEstack Web漏洞和云错误配置分析 - 扫描运行应用程序URL是否有云错误配置和Web漏洞。

https://www.youtube.com/watch?v= yrpitqny9um&list=pl_8xjyi5rinxzhpqkdipmaj0lt6pj8

与？由SecurEstack