Статический анализ кода в SourceCraft

Статический анализ кода (SAST) — проверка исходного кода с целью выявления уязвимостей, ошибок и нарушений стандартов безопасности без запуска самого кода.

В SourceCraft доступны следующие инструменты SAST:

• встроенный анализатор OpenGrep, который работает на основе правил, разрабатываемых сообществом, и позволяет обнаруживать типовые уязвимости для распространенных языков программирования.
• интеграция пользовательских анализаторов с загрузкой результатов в формате SARIF через CI-процесс.

Результаты сканирования от OpenGrep и пользовательских анализаторов отображаются в предложениях изменений в виде комментариев от SourceCraft Security Bot.

Чтобы посмотреть общий список обнаруженных проблем:

1. Откройте главную страницу SourceCraft.

2. На вкладке Домой перейдите в раздел Репозитории и выберите репозиторий.

3. На странице репозитория в разделе Безопасность перейдите в секцию Анализ кода.

   Примечание

   Аналогично вы можете посмотреть общий список проблем для всех репозиториев организации.

   В списке отображаются:

   • Обозначение и номер проблемы.
   • Дата последнего обнаружения.
   • Путь к файлу, в котором обнаружена проблема.
   • Условное обозначение уровня риска.
   • Статус инцидента — Открыт или Решён.
   • Отметка о ложном срабатывании (если было отмечено).

   Чтобы скачать файл SARIF (Static Analysis Results Interchange Format) для аудита или интеграции с внешними системами, нажмите кнопку Скачать SARIF.

   Совет

   Вы можете отфильтровать проблемы по статусу (Открыт, Решён и Ложное срабатывание), важности (Критический, Высокий, Средний и Низкий) и типу сканера.

   Также вы можете отсортировать проблемы по статусу или важности.

4. Чтобы посмотреть детальную информацию о конкретной проблеме, выберите ее в списке.

   На открывшейся странице отображается описание проблемы, блок кода, в котором она обнаружена, а также хронология событий: когда предупреждение было открыто, кем и когда было отмечено как решенное или открыто повторно.

   Совет

   На этой же странице вы можете запустить анализ уязвимостей с помощью ИИ.

5. Чтобы отметить инцидент как решенный:

   1. Напротив нужного инцидента нажмите Решить.
   2. Введите комментарий к инциденту.
   3. (опционально) Отметьте инцидент как ложное срабатывание.
   4. Нажмите Решить.

6. Чтобы повторно открыть инцидент, напротив нужного инцидента нажмите Переоткрыть.

См. также

• Демонстрационный репозиторий с уязвимостями
• Безопасность в SourceCraft
• Настройка пользовательского анализатора безопасности в SourceCraft
• Дашборд безопасности в SourceCraft
• Анализ уязвимостей в зависимостях репозитория SourceCraft
• Сканирование секретов в репозитории SourceCraft
• Анализ уязвимостей с помощью ИИ в SourceCraft