sourcefare是一款开源免费的代码扫描工具,支持免费私有化部署,工具支持一键安装、零配置,包含安全漏洞、编码缺陷和合规性问题扫描,支持常见的Java、JavaScript、Go、Python、C/C++、C#等语言,本文将介绍如何创建项目,并上传代码包进行代码扫描。
1、创建项目
安装启动完毕后,默认可以通过 http://ip:8900 访问,默认用户名/密码为admin/123456。
默认支持通过账号密码登录,满足基础登录需求。若需要使用企业微信、钉钉或 LDAP 等高级登录方式,可参阅sourcefare文档获取相关配置说明。
登录页
进入系统后,可根据不同需求来创建不同的项目。sourcefare支持服务器扫描和客户端扫描,服务器扫描分为代码压缩包上传扫描和Git代码仓库扫描,客户端扫描提供给CICD工具Arbess集成扫描。
1.1 配置代码扫描方案
sourcefare内置多种扫描规则,根据语言内置代码扫描方案。
代码扫描方式可以自定义设置,进入系统设置→扫描方案,进行自定义添加。
扫描方案
点击添加方案,可以自定义选择扫描规则。
1.2 创建项目
在项目页面点击新建项目,配置项目的基本信息,如名称,项目权限,成员等。
新建项目
流水线信息输入完毕之后,点击下一步配置扫描,扫描方式选择服务器扫描(包上传),扫描方案安装代码选择相应的扫描方案、扫描环境、以及是否进行覆盖测试。
项目扫描方式
点击确定成功创建项目。
1.3 添加成员
项目创建成功之后,需要对访问项目的成员进行管理。首先添加系统用户,依次点击系统设置->用户与权限->用户,在用户页面对系统用户进行管理。
用户列表
系统用户添加完成之后,可以对项目成员进行添加,在项目详情→设置→成员,进入成员编辑页面。
成员列表
如果用户在创建项目未选成员,那么流水线默认有创建人和admin两个成员。点击添加用户,添加的成员列表从系统用户列表获取。点击添加用户,勾选添加用户,点击确定即可成功添加流水线成员。
1.4 分配权限
添加项目成员后,可以对成员分配权限、修改角色,点击流水线详情→设置→权限,可浏览到内置角色,也可以对角色进行新增。
角色列表
在流水线详情→设置→成员,点击“角色修改”,对成员角色进行修改。成员角色可多选。
角色修改
2、代码扫描
例如创建Java代码扫描,选择如下信息,完成创建。
创建代码扫描
完成创建后,进入项目详情,在扫描报告页面,上传代码压缩包。
上传代码包
成功上传代码包后,扫描报告页面显示为扫描记录列表,在执行代码扫描之前,还可以配置质量门禁。超过设定的门禁表示代码扫描不通过。
设置门禁
门禁设置完成后,点击扫描按钮执行扫描。
代码扫描
3、查看扫描报告
3.1 查看扫描报告
代码扫描完成后,点击报告编号,查看详细代码扫描报告。
代码扫描列表
进入代码扫描详情后,默认进入概览界面,显示当前代码扫描结果,各个登记问题分类,以及度量的概况。
概况
在问题tab可查看扫描的详细问题名称、问题类型、所在代码文件名、问题登记以及问题状态。
问题
点击问题,可查看详细问题。用户可根据提示修改代码,或者进行忽略问题。
查看详细问题
点击度量tab,可查看代码扫描重复率、复杂度、覆盖率扫描报告。
度量
代码tab,可查看代码问题分布。
代码
3.2 统计
sourcefare支持查看项目多次扫描的统计图,包含安全、功能、规范问题的统计图;重复率、复杂度、覆盖率统计图。
点击左侧的统计tab,查看复杂率统计趋势图。
统计图
有兴趣的朋友欢迎前往tiklab官网体验在线版本、或者下载私有化部署体验。
