Используете ли вы инструменты SAST? Сколько инструментов вы используете? Только один? Тогда все в порядке. Несколько? Наверное, он все еще работает. Больше? Добро пожаловать на один из этапов DevSecOps!
В настоящее время, когда мы поддерживаем систему, довольно часто приходится зависеть от нескольких языков и экосистем. Если система достаточно мала, должно быть достаточно универсального решения SAST… но позже вы можете обнаружить, что этого недостаточно.
Тогда как интегрировать отчеты, созданные несколькими инструментами SAST, чтобы получить обзор вашей системы? Решением может быть формат обмена результатами статического анализа (SAIF) .
ШАРИФ – это стандарт OASIS и формат отраслевого стандарта для вывода инструментов статического анализа. Настройте каждый инструмент SAST для создания отчета SARIF, затем мы сможем объединить отчеты, чтобы получить простой обзор сервиса. Сканирование кода GitHub является одним из примеров, оно работает как панель инструментов всех инструментов SAST, как показано ниже:
Как настроить обнаружение ошибок для создания отчета SARIF
Во-первых, лучше использовать исправления ошибок 4.4.1 и выше, которые включают исправление , чтобы сделать отчет SARIF совместимым с требованиями API сканирования кода Github .
Если вы используете интерфейс командной строки для поиска ошибок, добавьте -sarif параметр .
Если вы используете Gradle, настройте задачи с помощью Задачи обнаружения ошибок , чтобы установить отчеты.sarif.включено :
spotbugsMain {
reports {
sarif {
enabled = true
}
}
}
Если вы используете Maven, настройте плагин с помощью true :
com.github.spotbugs spotbugs-maven-plugin true
Обратитесь к исправьте ошибки/исправьте ошибки-gradle-плагин в качестве живого примера интеграции сканирования кода на GitHub.
Надеюсь, что это руководство поможет вам найти новый способ обработки отчетов о ПОСЛЕДНИХ инструментах и сделает ваш взлом потрясающим!
Оригинал: “https://dev.to/kengotoda/spotbugs-supports-sarif-that-supports-integration-with-other-sast-tools-5fn”