Veracode 作为 git 的预提交钩子

Question

如何将 Veracode 扫描器集成为 git 工作存储库的预提交挂钩？我们如何检查扫描仪实际运行的天气？

Answer 1

您可以创建一个关于 Veracode 静态扫描分析的 GitHub Action。为此，您可以按照以下步骤操作：

1. 在您的 GitHub 项目的安全选项卡中（您需要拥有 GitHub 项目的管理员权限），点击“代码”的“启用设置” 扫描警报”。

2. 这会将您带到项目的设置，您需要“启用”“GitHub 高级安全”以进行“代码扫描”，

3. 然后单击将启用的“转到代码扫描”按钮。

4. 在出现多个代码扫描工具的列表中向下滚动，选择“Veracode 静态分析”（通常出现在页面底部）。

5. 点击“设置此工作流”，会自动在 .github/workflows 路径的 master 分支中创建一个子目录。工作流在 .yml 文件中配置，其中包含管道的步骤。

6. 先决条件：您需要将 Veracode API 密钥设置为项目机密（查看此处Create Veracode API keys 和此处 setup GitHub Action Secrets for Repository。将您的 API 密钥命名为 VERACODE_API_ID 和 VERACODE_API_KEY（因为它们是在 .yml 文件中设置的名称，或者在两个位置相应地更改它们）

7. 在自动创建的 .yml 文件中，有一个管道根据它所说的行上设置的规则运行

您可以查看此链接以获取更多信息on push/pull request branches/tags 分支名称也可以按照正则表达式进行更改，请参阅here 了解更多信息。

8. 您也可以将操作配置为按计划运行。 将鼠标悬停在“cron”上以查看出现的人工阅读格式。有了这个，Action 将根据 cron 运行。计划的工作流在默认或基础分支上的最新提交上运行。 在 GitHub Actions here 上查找有关如何配置计划事件的更多信息
9. 在项目的“操作”选项卡中，您现在可以查看管道运行的日志和每次运行的状态。
10. 如上所述（步骤 1-8）设置 GitHub 操作后，并且操作在 GitHub 项目的安全选项卡中运行良好（如步骤 9 中所述检查其状态）后，您应该能够要查看“代码扫描警报”是否处于“活动状态”，请单击“查看警报”，这会将您带到 Veracode 缺陷列表（如果有）。