sourcefare是一款开源免费的代码扫描工具,支持免费私有化部署,一键安装、零配置,包含安全漏洞、编码缺陷和合规性问题扫描,支持常见的Java、JavaScript、Go等语言,页面操作简洁明了,本文将介绍如何创建项目,使用服务端Git方式获取代码进行代码扫描。
1、创建项目
安装启动完毕后,默认可以通过 http://ip:8900 访问,默认用户名/密码为admin/123456。
默认支持通过账号密码登录,满足基础登录需求。若需要使用企业微信、钉钉或 LDAP 等高级登录方式,可参阅sourcefare文档获取相关配置说明。
登录页
进入系统后,可根据不同需求来创建不同的项目。sourcefare支持服务器扫描和客户端扫描,服务器扫描分为代码压缩包上传扫描和Git代码仓库扫描,客户端扫描提供给CICD工具Arbess集成扫描。
1.1 配置代码扫描方案
sourcefare内置多种扫描规则,根据语言内置代码扫描方案。
代码扫描方式可以自定义设置,进入系统设置→扫描方案,进行自定义添加。
扫描方案
点击添加方案,可以自定义选择扫描规则。
1.2 创建项目
在项目页面点击新建项目,配置项目的基本信息,如名称,项目权限,成员等。
新建项目
流水线信息输入完毕之后,点击下一步配置扫描,扫描方式选择服务器扫描(Git),服务器扫描(Git)方式支持GitPuk代码仓库,需要提前在系统设置→集成开放进行维护。
添加服务集成
点击添加仓库服务,输入GitPuk服务地址以及用户名密码进行添加。配置服务集成后,选择扫描方案、扫描环境、以及是否进行覆盖测试。
项目扫描方式
点击确定成功创建项目。
2、代码扫描
例如创建Java代码扫描,选择如下信息,完成创建。
创建代码扫描
完成创建后,进入项目详情,在执行代码扫描之前,还可以配置质量门禁。超过设定的门禁表示代码扫描不通过。
设置门禁
门禁设置完成后,点击扫描按钮执行扫描。
代码扫描
3、查看扫描报告
3.1 查看扫描报告
代码扫描完成后,点击报告编号,查看详细代码扫描报告。
代码扫描列表
进入代码扫描详情后,默认进入概览界面,显示当前代码扫描结果,各个登记问题分类,以及度量的概况。
概况
在问题tab可查看扫描的详细问题名称、问题类型、所在代码文件名、问题登记以及问题状态。
问题
点击问题,可查看详细问题。用户可根据提示修改代码,或者进行忽略问题。
查看详细问题
点击度量tab,可查看代码扫描重复率、复杂度、覆盖率扫描报告。
度量
代码tab,可查看代码问题分布。
代码
3.2 统计
sourcefare支持查看项目多次扫描的统计图,包含安全、功能、规范问题的统计图;重复率、复杂度、覆盖率统计图。
点击左侧的统计tab,查看复杂率统计趋势图。
统计图
