共计 1327 个字符,预计需要花费 4 分钟才能阅读完成。
想跳过下载步骤疾速应用 OpenSCA 检测代码危险?想实现多个我的项目并发扫描?
在 Docker Image 中应用 OpenSCA 即可轻松实现。一起来 look look
目标
- 不便用户应用最新版本的 OpenSCA-cli
- 保障环境的一致性,打消不同操作系统对后果的影响
- 能够不便在本地保护不同版本的 OpenSCA-cli
- 不便在特定状况下并发扫描的需要
应用办法
命令行传参形式应用
检测当前目录的依赖关系
docker run -ti --rm -v $(PWD):/src opensca/opensca-cli
应用云端数据库检测破绽
docker run -ti --rm -v $(PWD):/src opensca/opensca-cli -token xxxx
应用本地数据库检测破绽
docker run -ti --rm -v $(PWD):/src -v /localDB:/data opensca/opensca-cli -db /data/db.json
查看依赖关系并生成 SBOM
docker run -ti --rm -v $(PWD):/src opensca/opensca-cli -out /src/output.spdx
配置文件形式应用
OpenSCA-cli Docker 镜像默认从以后 /src 目录查找 config.json 配置文件,因而若心愿对每一个我的项目进行独自配置,只需在不同我的项目的根目录保护配置文件即可。
例如如下目录构造:
| . | |
| ├── LICENSE | |
| ├── README.md | |
| ├── config.json | |
| ├── pom.xml | |
| ├── src | |
| │ ├── config | |
| │ └── main | |
| ├── testfiles | |
| │ └── ... | |
| └── tools | |
| └── ... |
config.json 内容
| { | |
| "path": "/src", | |
| "out": "/src/output.spdx", | |
| "vuln": true, | |
| "dedup": true, | |
| "progress": true, | |
| "url": "https://opensca.xmirror.cn", | |
| "token": "xxxx-xxxx-xxxx-xxxx", | |
| "origin": {"": {"dsn":""} | |
| }, | |
| "maven": [ | |
| { | |
| "repo": "","user":"", | |
| "password": "" | |
| } | |
| ] | |
| } |
实现配置后,后续扫描无需批改命令,只需批改配置文件即可,不便在 CI/CD 的 Pipeline 中应用:
docker run -ti --rm -v $(PWD):/src opensca/opensca-cli
降级 OpenSCA-cli 镜像
可在援用时追加版本号,例如
docker run -ti --rm -v $(PWD):/src opensca/opensca-cli:v1.0.13
或者应用 pull 命令获取最新镜像
| docker pull opensca/opensca-cli:latest | |
| docker run -ti --rm -v $(PWD):/src opensca/opensca-cli |
开源平安共建
感激每一位开源社区成员对 OpenSCA 的反对和奉献。OpenSCA 的代码会在 GitHub 和 Gitee 继续迭代,欢送 Star 和 Fork,也欢送向咱们提交 ISSUE 和 PR,参加咱们的开源平安共建打算,与社区成员独特建设充斥可能性的开源解决方案。
正文完
