actions exposure

GITHUB操作，可分析您的Web应用程序，以解决安全性和可用性问题。当您将其添加到GitHub操作中时，我们每次部署到公共端点时都会分析您的Web应用程序，并让您知道您刚刚部署的内容是否安全并满足您的要求。有关此操作扫描的问题类型的哪些类型。

 name: Example Workflow Using SecureStack Web Vulnerability Exposure Action
on: push
jobs:
  security:
    runs-on: ubuntu-latest
    steps:
      - name: Web Vulnerability Exposure Analysis Step
        id: exposure
        uses: SecureStackCo/[email protected]
        with:
          securestack_api_key: ${{ secrets.SECURESTACK_API_KEY }}
          securestack_app_id: ${{ secrets.SECURESTACK_APP_ID }}
          severity: critical
          flags: '--dom -r'

注意 - 要了解操作输入flags的可能值，请在本地运行Securestack CLI：

$ bloodhound-cli code --help

1. 使用您的GitHub凭据登录到SecurEstack。
2. 转到左下角的设置，然后选择“第六”选项卡：API。
3. 生成一个新的API键并复制该值。
4. 现在返回GitHub，转到设置您的GitHub存储库，然后单击秘密，然后在左下方操作。
5. 创建一个名为Securestack_api_key的新秘密，并将值从步骤2粘贴到字段中，然后单击“添加秘密”。

1. 登录到SecurEstack。
2. 在左上方的应用程序下拉列表中，选择要使用的应用程序，然后单击“复制应用程序ID”
3. 创建一个名为Securestack_app_id的新秘密，并将值从步骤2粘贴到字段中，然后单击“添加秘密”。
4. 完成两个GitHub秘密时应该看起来像这样

1. 扫描Web应用程序过时和脆弱的应用程序组件
2. 确定是否正在使用WAF，防火墙和安全标头等基本安全控件
3. 找到所有面向资产的公共资产，并帮助您了解应用程序攻击表面
4. 确定现有WAF或CDN中的错误配置
5. 确定应用程序是否正在使用CSP或安全标头以及是否有效
6. 为Akamai，Cloudflare和Imperva找到WAF旁路攻击

1. 您可以在GitHub Action Workflow输出中查看分析输出

2. 您可以使用我们的Bloodhound -CLI进行当地秘密分析： bloodhound-cli recon -r -a <app_id>

3. 您可以与SecerEstack SaaS中的分析输出进行交互

1. SecurEstack软件组成分析（SCA） - 扫描您的易受攻击的第三方和开源库。
2. SecurEstack Secret Scanning-扫描您的嵌入式API密钥，凭据和SENSTIVE数据的申请。
3. SecurEstack Web漏洞和云错误配置分析 - 扫描运行应用程序URL是否有云错误配置和Web漏洞。
4. SecurEstack Log4J分析 - 扫描您的log4j/log4shell漏洞的应用程序。
5. SecurEstack SBOM-为您的应用程序创建软件材料清单（SBOM）。
6. 或者，我们多合一的github行动 - 我们将所有行动都放在一个“统治所有这些行动”中！

与？由SecurEstack