SAST

Функционал доступен в Enterprise версии


SAST - от англ. Static application security testing, статический анализатор безопасности кода.

Совместимость с SAST: убедитесь, что используемый вами анализатор кода поддерживает отчеты в формате SARIF.

Настройка SAST для проекта

SAST работает на мощностях, используемых агентом (раннером). Анализатор кода показывает отчет после выполнения сценария, указанном в .yaml файле.

Для того, чтобы запустить SAST, необходимо выбрать и подключить статический анализатор в свой проект самостоятельно. Также необходимо чтобы отчет отдавался в json файле в формате SARIF. Для подключения SAST необходимо загрузить отчет как артефакт, добавив к нему дополнительный параметр reports:

artifacts:
    reports:
      paths: 'core/target/spotbugsSarif.json'
      base_dir: 'core/src/main/java'
  • paths -> указывается путь до файла (Можно указать несколько путей для разных файлов)
  • base_dir -> опционально. необходимо чтобы GitFlic нашел файл, если сам анализатор был запущен из модуля, который находится внутри проекта.

Описание работы

В статическом анализаторе кода предусмотрены 5 уровней важности уязвимостей:

  • Критические
  • Недопустимые
  • Нежелательные
  • Информационные
  • Неопределенные

sast

На странице SAST в проекте вы можете исследовать уязвимости, отфильтровав их по важности и статусу.

sast

Вы можете посмотреть информацию по каждой уязвимости, локализовав файл, коммит и строку, на которых она была обнаружена, а также дополнительную информацию.

sast