Veracode作为git的预提交钩子

Question

如何集成Veracode扫描器作为git工作存储库的预提交钩子？我们如何检查扫描仪是否正在运行？

Answer 1

您可以创建关于Veracode静态扫描分析的GitHub操作。为此，您可以执行以下步骤：

1. 在GitHub项目的安全选项卡中(您需要具有GitHub项目的管理员权限)，单击"Code scanning alerts“的"Enable settings”。

1. 这将把您带到项目的设置，在这里您需要为“代码扫描”“启用”“GitHub高级安全”，

1. ，然后单击将启用的“Go to code scanning”按钮。

1. 在出现多个代码扫描工具的列表上向下滚动，选择“Veracode静态分析”(通常显示在页面底部)。

工作流单击“设置此工作流”，将自动在.github/

1. 路径下的主分支中创建一个子目录。工作流在包含管道步骤的.yml文件中配置。

您需要将Veracode API密钥设置为项目机密(查看此处的Create Veracode API keys和此处的setup GitHub Action Secrets for Repository。将您的API密钥命名为VERACODE_API_ID和VERACODE_API_KEY (因为这是在.yml文件中设置的名称，或者在这两个位置相应地更改它们)

1. 在自动创建的.yml文件中，有一个管道根据

所在行上设置的规则运行

您可以查看此链接以了解更多信息on push/pull request branches/tags

分支名称可以更改，也可以遵循正则表达式，有关更多信息，请参阅here。

1. 您还可以将操作配置为按计划运行。将鼠标悬停在“cron”上可查看出现的人工阅读格式。这样，该操作将根据cron运行。计划的工作流在默认或基本分支上的最新提交上运行。查找有关如何在项目的操作选项卡上配置GitHub操作的计划事件的更多信息您现在可以看到管道运行的日志和每次运行的日志您已经按照上述步骤设置了GitHub操作(步骤1-8)，并且操作运行良好(如步骤9所述检查其状态)在GitHub项目的安全选项卡中，您应该能够看到"Code scanning alerts“是”活动的“，单击”GitHub alerts“。这会将您带到Veracode缺陷列表。