SAST
SAST - от англ. Static application security testing, статический анализатор безопасности кода.
Совместимость с SAST: убедитесь, что используемый вами анализатор кода поддерживает отчеты в формате SARIF.
Настройка SAST для проекта
SAST работает на мощностях, используемых агентом (раннером). Анализатор кода показывает отчет после выполнения сценария, указанном в .yaml файле.
Для того, чтобы запустить SAST, необходимо выбрать и подключить статический анализатор в свой проект самостоятельно. Также необходимо чтобы отчет отдавался в json файле в формате SARIF. Для подключения SAST необходимо загрузить отчет как артефакт, добавив к нему дополнительный параметр reports:
artifacts:
reports:
paths: 'core/target/spotbugsSarif.json'
base_dir: 'core/src/main/java'
- paths -> указывается путь до файла (Можно указать несколько путей для разных файлов)
- base_dir -> опционально. необходимо чтобы GitFlic нашел файл, если сам анализатор был запущен из модуля, который находится внутри проекта.
Описание работы
В статическом анализаторе кода предусмотрены 5 уровней важности уязвимостей:
- Критические
- Недопустимые
- Нежелательные
- Информационные
- Неопределенные
На странице SAST в проекте вы можете исследовать уязвимости, отфильтровав их по важности и статусу.
Вы можете посмотреть информацию по каждой уязвимости, локализовав файл, коммит и строку, на которых она была обнаружена, а также дополнительную информацию.
