Giithub Actions에서 Veracode 정적 검색

개시하다

위치 이동 왼쪽 키라는 키워드처럼 전체 과정을 통해 품질을 향상시키는 것은 현대 소프트웨어 개발의 응당한 자세이며 특히 안전성은 발표 전에 자주 화제가 된다.이번에는 그 시비를 깊이 따질 수는 없지만 우선 손 옆에 있는 것들로 지속적인 안전 활동을 시작하는 메커니즘을 간단하게 시도해 보고 싶습니다.

쓸것

Github Actions

React 응용

Veracode

Veracode(베라 코드)는 귀에 거슬리는데, 이것은 정적 또는 동적 분석 코드를 통해 안전 진단을 하는 SaaS이다.두루뭉술하게 말하다.zip아.Warr를 먹었다는 진단을 받고 결과를 보고합니다.보아하니사이트 설명 2006년부터 서비스를 시작했고 현재 전 세계 2600여 개 기업이 고객이 됐으며 분석한 코드는 누적 45조 줄을 넘어섰다.이런 실적을 활용하면 매일 분석의 정밀도를 높일 수 있다는 것이 강점이다.다만, 일본 내 도입 사례는 좀처럼 들리지 않는다.나도 요즘 알았어.국내에서 유사한 서비스yamory.io로 알고 싶어요.

만들다

오프닝은 여기까지 하겠습니다.물건을 만드는 인상은 이렇다.

Veracode는 React 애플리케이션을 구축하여 S3에 업로드하기 전에진단을 위해 zip을 업로드합니다.진단에 시간이 걸리기 때문에 S3 업로드부터 독립적입니다.단순히 진단을 수행하는 시간을 자동화할 뿐이다.그리고 대체적인 절차는 다음과 같다.

창고 준비

적절한 React 애플리케이션 생성

S3통 준비

Giithub Action 쓰기 Workflow

1~3은 본질이 아니기 때문에 빠르게 4부터 시작한다

Giithub Action을 쓰는 Workflow

Workflow를 씁니다.네, 둥.
main.yaml

name: Build React
on:
  push:
      branches:
        - main
jobs:
  build:
    runs-on: ubuntu-latest
    steps:
      - name: Checkout
        uses: actions/checkout@master

      - name: Install Dependencies
        run: npm install

      - name: Build
        run: npm run build

      - name: Zip build
        uses: thedoctor0/zip-release@master
        with:
          filename: release.zip
          path: build

      - name: Veracode Upload And Scan
        uses: veracode/[email protected]
        with:
          # appname
          appname: ${{ github.repository }}
          # createprofile
          createprofile: true
          # filepath
          filepath: release.zip
          # version
          version: ${{ github.run_id }}
          # vid
          vid: ${{ secrets.VERACODE_ID }}
          # vkey
          vkey: ${{ secrets.VERACODE_KEY }}

      - name: Deploy
        env:
          AWS_ACCESS_KEY_ID: ${{ secrets.AWS_ACCESS_KEY_ID }}
          AWS_SECRET_ACCESS_KEY: ${{ secrets.AWS_SECRET_ACCESS_KEY }}
        run: aws s3 cp --recursive --region ap-northeast-1 build s3://XXXXXXX

Veracode Upload And Scan의 절차가 이번의 관건이다.그리고 이것은 마켓플레이스에서 얻을 수 있습니다.얼마나 쉬운데.
이 Workflow를 재생하면 Veracode에서 지정한 프로그램을 생성하여 정적 분석을 하고 진단 결과를 볼 수 있습니다👏

최후

발매 전아니면'해봤어요?'혹은 "심상치 않다든지 나왔으면 고쳐야 한다"는 패턴이 사라진다.말하자면 수동으로 3번 이상 하면 자동화하고, 대폭발은 어떻게든 피해야 한다는 의견도 있다.따라서 왼쪽으로 이동해야 한다.
실장과 관련해서는 당연히 더 다채로운 패턴(진단 결과에 따라 파이프라인 추진 또는 정지, 자동 개표 등)이 있을 것이고, 이번에는 여기까지다.그러면👋

Reference

이 문제에 관하여(Giithub Actions에서 Veracode 정적 검색), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/Tom3/items/d8dd13bd78a1548fe0e1

텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.

우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)

좋은 웹페이지 즐겨찾기

개발자 우수 사이트 수집

개발자가 알아야 할 필수 사이트 100선 추천 우리는 당신을 위해 100개의 자주 사용하는 개발자 학습 사이트를 정리했습니다