У меня есть несколько скриптов на Python (эти скрипты работают в Airflow) с файлом requirements.txt. Я хочу сканировать эти скрипты с помощью статического сканирования Veraode. Я попытался заархивировать это и загрузить вручную, чтобы отсканировать это, и результат прошел без серьезности, но у меня была проблема с требованием.txt (библиотеки зависимостей) о том, как я буду сканировать это. Итак, я создал виртуальную среду и установил все библиотеки зависимостей, а затем заархивировал ее со своими сценариями и загрузил, результат прошел, но в SCA ничего нет. Это правильный способ загрузки и сканирования. Как вручную сканировать скрипты Python в Veracode. В настоящее время мы пытаемся выполнить сканирование вручную, и мы попытаемся автоматизировать это с помощью Jenkins.
Как сканировать скрипты Python в статическом сканировании Veracode?
Ответы (1)
Согласно документации https://help.veracode.com/r/compilation_python, вы должны хорошо, если вы загрузили скрипты в zip-файле.
person
Abdul Rashid G
schedule
15.02.2021
Спасибо, вы говорите, что загрузка только скриптов Python в порядке или загрузка в виртуальной среде в порядке, но как насчет зависимости таким образом, что зависимости не сканируются Veracode. Ничего не показывает в Veracode SCA (анализ состава программного обеспечения). Он должен показывать библиотеки с открытым исходным кодом, которые я добавил в виртуальную среду или requiremets.txt.
- person akash kumar; 15.02.2021
по этой ссылке вы можете увидеть, как упаковывать приложения Python, help.veracode.com/r/compilation_python, точнее, это означает «Загрузить сжатый ZIP-архив, содержащий весь код Python и HTML, сохраняя структуру проекта, в Veracode. Не включайте сторонние пакеты. Не загружайте отдельные исходные файлы Python. Если вы используете Veracode Integrated Software Composition Analysis, включите Pipfile.lock в корень ZIP-архива, чтобы не загружать исходные библиотеки.
- person stamstam; 18.02.2021
