扫描 GitHub 存储库

静态分析扫描可以配置和计划,以便直接从公共 GitHub 存储库中提取源代码。对 SAST 结果进行分类时,用户可以直接在 GitHub.com 上查看相关源代码。可以按文件名或路径过滤结果。

  1. 使用创建扫描向导配置扫描。选择应用程序 > <应用程序> > 创建扫描 > SAST 静态分析:创建扫描 > 扫描 GitHub 存储库
  2. GitHub 连接选项卡上,单击与 GitHub 连接,登录 GitHub。

    获得授权后,可用存储库将在存储库选项卡上列出。仅需授权一次。

  3. 存储库选项卡上,指定要从可用存储库列表中扫描的存储库和分支,或提供存储库 URL。
    从可用存储库列表中选择存储库时,请先选择父项,然后选择分支。
    注: 如果存储库在列表中不可见,则可能是专用存储库。请参阅扫描专用 GitHub 存储库
    按 URL 指定存储库时,请包含完整路径。例如 https://github.com/HCL-TECH-SOFTWARE/AltoroJ
  4. 计划选项卡中,指定应立即运行扫描,保存扫描配置以供日后使用,或计划重复扫描:
    • 立即扫描

      单击“扫描”按钮后,扫描将立即运行。如果此时正在运行的并发扫描数达到最大数量,则该扫描将添加到队列中,并在达到队列最前面时开始运行。

    • 保存以供日后使用

      扫描配置已准备就绪,可以运行,并已添加到扫描页面,状态为“配置已保存”。保存的配置无法编辑。

    • 计划
      • 指示扫描的开始日期和时间。
      • 如果希望按计划重复扫描,请指定频率(每天、每周、每月)和更多详细信息。
      • 指示何时应停止重新扫描。
  5. 扫描选项选项卡上指示其他扫描首选项:
    • 选择将扫描作为个人扫描运行。个人扫描的安全问题不会添加到整个应用程序的问题中。
    • 选择在扫描完成时接收电子邮件通知。
    • 允许我们的扫描支持团队进行干预。
  6. 摘要选项卡上,根据需要编辑为扫描指定的缺省名称,并查看扫描选择。
  7. 准备扫描时单击扫描