Azure DevOps管道:带通知的代码扫描器

Question

我们目前在我们的WhiteSource DevOps管道中使用Azure Bolt任务来扫描我们的代码，以发现已知的漏洞。此任务将生成有关管道级别的报告，另外还会生成所有管道的所有漏洞的摘要报告。此摘要报告可以通过电子邮件以不同的格式导出/发送，但只能从UI

我们希望收到新漏洞的通知。假设我们当前的代码没有漏洞，所以我们希望得到通知，以防管道任务完成并发现一些新的漏洞。此信息目前可以在UI中看到，但似乎没有发送通知的选项(因此我们会自动收到通知，而不是手动检查报告)。

有没有人知道任何开源的代码漏洞扫描解决方案，可以与Azure DevOps管道集成并发送通知？WhiteSource Bolt对我们来说工作得很好，只是错过了通知部分(我们知道付费版本，但这是从5k/年开始的，因为我们仍然是一个小的初创公司)。提前感谢！

Answer 1

我建议你使用这个第三个扩展：Send Email，它是免费的，可以从build管道在电子邮件中添加附件。

Answer 2

恐怕这不可能通过WhiteSource Bolt任务来实现，因为它不会生成任何输出文件或日志。

您可以查看任务OWASP Dependency Check，它会将漏洞数据导出为HTML、JSON、XML、CSV、JUnit格式的报告。以便您可以在管道中添加脚本任务以读取报告，并添加set a flag variable(eg. sendEmail) in the script task以指示是否应发送警报电子邮件。如下所示：

- powershell: |
    ##read the report file
    ...
    if(condition){
     echo "##vso[task.setvariable variable=sendEmail]true"
     }

然后，当变量sendEmail为true时，可以对send email task使用conditions发送电子邮件。

- task: rvo.SendEmailTask.send-email-build-task.SendEmail@1
  displayName: 'Send an email with subject'
  inputs:
    To: ..
    From: ..
    Subject: ..
  condition: eq(variables.sendEmail, 'true')

你也可以签出Security Scan扩展。