如何在 Veracode 静态扫描中扫描 python 脚本扫描?

【问题标题】:How to scan python scripts scan in Veracode static scan?如何在 Veracode 静态扫描中扫描 python 脚本扫描?
【发布时间】:2021-05-18 01:59:15
【问题描述】:

我有一些带有 requirements.txt 的 python 脚本(这些脚本在 Airflow 上运行。)。我想用 Veraode 静态扫描来扫描这些脚本。我尝试压缩此文件并手动上传以扫描此文件,结果没有严重通过,但我担心 require.txt(依赖库)我将如何扫描它。因此,我创建了虚拟环境并安装了所有依赖库,然后将其与我的脚本一起压缩并上传,结果通过但 SCA 中没有任何内容。这是上传和扫描的正确方法吗?在 Veracode 中手动扫描 python 脚本的方法是什么。目前我们正在尝试手动进行扫描,并将尝试使用 Jenkins 自动执行此操作。

【问题讨论】:

    标签: python security veracode


    【解决方案1】:

    根据文档https://help.veracode.com/r/compilation_python,如果您已将脚本上传到 zip 文件中,您应该会很好。

    【讨论】:

    • 谢谢,您是说只有 python 脚本上传就可以了,还是用虚拟环境上传就可以了,但是 Veracode 不会扫描依赖关系呢?在 Veracode SCA(软件组合分析)中没有显示任何内容。它应该显示我在虚拟环境或 requiremets.txt 中添加的开源库
    • 您可以在此链接中看到有关如何打包 python 应用程序的信息,help.veracode.com/r/compilation_python,更准确地说,它指出“将包含所有 Python 和 HTML 代码的压缩 ZIP 存档上传到 Veracode,维护项目结构。不要包含第三方包。不要上传单独的 Python 源文件。如果使用 Veracode 集成软件组合分析,请在 ZIP 存档的根目录中包含 Pipfile.lock。”,因此您不要上传源库
    猜你喜欢
    • 1970-01-01
    • 2012-12-08
    • 1970-01-01
    • 1970-01-01
    • 2016-01-23
    • 2020-06-04
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode