actions exposure

GITHUB操作，可分析您的Web應用程序，以解決安全性和可用性問題。當您將其添加到GitHub操作中時，我們每次部署到公共端點時都會分析您的Web應用程序，並讓您知道您剛剛部署的內容是否安全並滿足您的要求。有關此操作掃描的問題類型的哪些類型。

 name: Example Workflow Using SecureStack Web Vulnerability Exposure Action
on: push
jobs:
  security:
    runs-on: ubuntu-latest
    steps:
      - name: Web Vulnerability Exposure Analysis Step
        id: exposure
        uses: SecureStackCo/[email protected]
        with:
          securestack_api_key: ${{ secrets.SECURESTACK_API_KEY }}
          securestack_app_id: ${{ secrets.SECURESTACK_APP_ID }}
          severity: critical
          flags: '--dom -r'

注意 - 要了解操作輸入flags的可能值，請在本地運行Securestack CLI：

$ bloodhound-cli code --help

1. 使用您的GitHub憑據登錄到SecurEstack。
2. 轉到左下角的設置，然後選擇“第六”選項卡：API。
3. 生成一個新的API鍵並複制該值。
4. 現在返回GitHub，轉到設置您的GitHub存儲庫，然後單擊秘密，然後在左下方操作。
5. 創建一個名為Securestack_api_key的新秘密，並將值從步驟2粘貼到字段中，然後單擊“添加秘密”。

1. 登錄到SecurEstack。
2. 在左上方的應用程序下拉列表中，選擇要使用的應用程序，然後單擊“複製應用程序ID”
3. 創建一個名為Securestack_app_id的新秘密，並將值從步驟2粘貼到字段中，然後單擊“添加秘密”。
4. 完成兩個GitHub秘密時應該看起來像這樣

1. 掃描Web應用程序過時和脆弱的應用程序組件
2. 確定是否正在使用WAF，防火牆和安全標頭等基本安全控件
3. 找到所有面向資產的公共資產，並幫助您了解應用程序攻擊表面
4. 確定現有WAF或CDN中的錯誤配置
5. 確定應用程序是否正在使用CSP或安全標頭以及是否有效
6. 為Akamai，Cloudflare和Imperva找到WAF旁路攻擊

1. 您可以在GitHub Action Workflow輸出中查看分析輸出

2. 您可以使用我們的Bloodhound -CLI進行當地秘密分析： bloodhound-cli recon -r -a <app_id>

3. 您可以與SecerEstack SaaS中的分析輸出進行交互

1. SecurEstack軟件組成分析（SCA） - 掃描您的易受攻擊的第三方和開源庫。
2. SecurEstack Secret Scanning-掃描您的嵌入式API密鑰，憑據和SENSTIVE數據的申請。
3. SecurEstack Web漏洞和雲錯誤配置分析 - 掃描運行應用程序URL是否有云錯誤配置和Web漏洞。
4. SecurEstack Log4J分析 - 掃描您的log4j/log4shell漏洞的應用程序。
5. SecurEstack SBOM-為您的應用程序創建軟件材料清單（SBOM）。
6. 或者，我們多合一的github行動 - 我們將所有行動都放在一個“統治所有這些行動”中！

與？由SecurEstack