SAST GitHub アクション

AppScan SAST Github アクションを使用すると、リポジトリー内のファイルに対して静的分析セキュリティー・テスト (SAST) を実行できます。SAST スキャンでは、コード内のセキュリティーの脆弱性を特定し、結果を AppScan on Cloud に保存します。

登録

アカウントがない場合は、HCL AppScan on Cloud (ASoC) に登録して API 鍵と API 秘密を生成してください。

セットアップ

  1. 「API」ページで API 鍵と API 秘密を生成します。
    • API 鍵と API 秘密は、このアクションの asoc_key および asoc_secret パラメーターにマッピングされます。API 鍵と API 秘密をリポジトリーに秘密として保存します。
  2. ASoC でアプリケーションを作成します。
    • ASoCapplication ID は、このアクションの application_id にマッピングされます。

必須入力

名前(N) 説明
asoc_key 「API」ページからの API 鍵
asoc_secret 「API」ページからの API 秘密
application_id ASoC のアプリケーションの ID。

オプション入力

名前(N) 説明 Default (デフォルト)
scan_name ASoC で作成されたスキャンの名前。 GitHub リポジトリー名
personal_scan これを個人スキャンにします。 false
static_analysis_only 静的分析のみを実行します。SCA (ソフトウェア・コンポジション分析) は実行しないでください。 false
open_source_only SCA (ソフトウェア・コンポジション分析) のみを実行します。静的分析は実行しないでください。 false
scan_build_outputs デフォルトでは、ソース・コード・ファイルのみが分析されます。このオプションを有効にすると、Java および .NET の分析対象のビルド出力ファイル (.jar/.war/.ear/.dll/.exe) が得られます。さらに、ビルド環境が利用可能な場合は、Maven、Gradle、Visual Studio のソリューションがビルドされます。 false
wait_for_analysis デフォルトでは、このアクションは ASoC でスキャンを開始しますが、分析が完了するまで待機しません。このオプションを有効にすると、分析が完了するまでアクションが待機します。これにより、アクションの実行時間が長くなることに注意してください。 false
analysis_timout_minutes wait_for_analysistrue の場合の、分析が完了するまでの待機時間 (分)。 30 分
fail_for_noncompliance wait_for_analysistrue の場合は、スキャンで非準拠の問題が検出されると、ジョブが失敗します。 false
failure_threshold fail_for_noncompliance が有効化されている場合の、失敗を示す重大度。重大度がそれより低い場合は、失敗とは見なされません。例えば、failure_thresholdmedium に設定されている場合、重大度が informationallow の問題は失敗になりません。mediumhighcritical の問題は失敗になります。 low
comment スキャンを関連付けるコメント。 

name: "HCL AppScan SAST"
on:
  workflow_dispatch
jobs:
  scan:
    runs-on: ubuntu-latest
    steps:
      - name: Checkout
        uses: actions/checkout@v3
      - name: Run AppScan SAST scan
        uses: HCL-TECH-SOFTWARE/appscan-sast-action@v1.0.1
        with:
          asoc_key: ${{secrets.ASOC_KEY}}
          asoc_secret: ${{secrets.ASOC_SECRET}}
          application_id: e35ea96d-cae0-499a-a3ed-7a4efd77b269