Перейти к содержанию

Подключить проект и выполнить первый SCA-анализ

Контекст

Первый практический шаг в CodeScoring.SCA — подключить репозиторий как VCS-проект и дождаться первого SCA-анализа. В этом сценарии для примера используется GitLab, но сам порядок работы такой же и для других поддерживаемых систем контроля версий: сначала создается подключение, затем проект, затем запускается первый анализ.

Что получится

После выполнения сценария в CodeScoring появится подключенный проект с первым завершенным SCA-анализом. На странице проекта будут доступны результаты сканирования, а при необходимости — история запусков с метаданными по ветке и коммиту.

Требования

Перед началом убедитесь, что у вас есть:

  • доступ к репозиторию в GitLab;
  • учетная запись GitLab, в которой можно создать Personal Access Token;
  • доступ к CodeScoring с правами VCS: добавление репозиториев и Projects: создание проектов;
  • лицензия CodeScoring, в которой включен модуль SCA.

Шаги

Шаг 1. Создайте токен доступа в GitLab

CodeScoring использует токен для чтения репозитория и проверки его содержимого при анализе.

  1. Войдите в GitLab под своей учетной записью.
  2. Откройте Edit profile.
  3. В левом меню перейдите в раздел Access Tokens.
  4. Укажите имя токена, например codescoring-demo.
  5. В секции scopes включите read_api и read_repository.
  6. Нажмите Create personal access token.
  7. Скопируйте сгенерированный токен и сохраните его в безопасном месте.

Токен готов к использованию в настройках подключения GitLab в CodeScoring.

Шаг 2. Добавьте подключение к GitLab в CodeScoring

На этом шаге GitLab становится доступен платформе как источник кода для будущих анализов.

  1. В CodeScoring перейдите в Настройки -> VCS.
  2. Нажмите Добавить.
  3. Заполните форму подключения:
    • Название — понятное имя подключения, например GitLab main;
    • Тип подключенияHTTPS;
    • ТипGitlab;
    • Адрес — адрес GitLab, например https://gitlab.com;
    • Токен доступа — токен, созданный на предыдущем шаге.
  4. Нажмите Проверить подключение.
  5. Если проверка прошла успешно, нажмите Добавить.

После успешной проверки подключение можно выбрать при создании проекта.

Шаг 3. Создайте VCS-проект

Теперь можно добавить сам репозиторий в CodeScoring и сразу запустить первый SCA-анализ после клонирования.

  1. Перейдите в Настройки -> Проекты.
  2. Нажмите Создать и выберите вкладку VCS проекты.
  3. Заполните форму проекта:
    • Репозиторий — ссылка на репозиторий GitLab;
    • VCS — созданное на предыдущем шаге подключение GitLab;
    • Название — имя проекта в CodeScoring.
  4. Оставьте включенной опцию Запустить SCA после клонирования.
  5. Нажмите Создать.

После сохранения проекта начнется первоначальное клонирование репозитория, а затем автоматически запустится SCA-анализ.

Шаг 4. Дождитесь завершения первого анализа

Во время первого запуска платформа получает исходный код из GitLab и строит первичный срез зависимостей и уязвимостей.

  1. Откройте страницу созданного проекта.
  2. При необходимости отслеживайте прогресс в разделе Настройки -> Аудит лог.
  3. Дождитесь завершения анализа.

Когда анализ завершится, на странице проекта станут доступны результаты SCA.

Шаг 5. Проверьте результаты анализа

После первого запуска важно убедиться, что проект действительно проанализирован и результаты можно использовать дальше.

  1. На странице проекта откройте вкладку SCA.
  2. Проверьте, что на вкладке отображаются результаты анализа проекта.
  3. При необходимости откройте историю сканирований SCA, чтобы убедиться, что последний запуск завершился успешно.
  4. В истории сканирования откройте последний запуск по дате и проверьте:
    • число найденных зависимостей;
    • число найденных уязвимостей;
    • метаданные VCS, включая ветку и SHA коммита.

На этом этапе проект уже подключен к платформе, а первые результаты анализа готовы к разбору.

Результат

Сценарий можно считать завершенным, если:

  • открыть Настройки -> VCS и убедиться, что подключение GitLab сохранено;
  • открыть Настройки -> Проекты и убедиться, что проект создан;
  • открыть страницу проекта и проверить, что результаты SCA уже отображаются;
  • при необходимости открыть историю сканирований SCA и убедиться, что последний запуск завершился успешно.

После этого проект готов к дальнейшему разбору зависимостей, уязвимостей и настройке политик безопасности.

Что дальше

После первого анализа можно перейти к следующим задачам:

Страница была полезна?