sourcefare从基础到实践(1) - 上传代码压缩包的方式进行代码扫描

sourcefare是一款国产开源免费的代码扫描工具，支持免费私有化部署，工具支持一键安装、零配置，包含安全漏洞、编码缺陷和合规性问题扫描，支持常见的Java、JavaScript、Go、Python、C/C++、C#等语言，本文将介绍如何创建项目，并上传代码包进行代码扫描。

1、创建项目

安装启动完毕后，默认可以通过 http://ip:8900 访问，默认用户名/密码为admin/123456。

默认支持通过账号密码登录，满足基础登录需求。若需要使用企业微信、钉钉或 LDAP 等高级登录方式，可参阅sourcefare文档获取相关配置说明。​

​​登录页 ​

进入系统后，可根据不同需求来创建不同的项目。sourcefare支持服务器扫描和客户端扫描，服务器扫描分为代码压缩包上传扫描和Git代码仓库扫描，客户端扫描提供给CICD工具Arbess集成扫描。

1.1 配置代码扫描方案

sourcefare内置多种扫描规则，根据语言内置代码扫描方案。

代码扫描方式可以自定义设置，进入系统设置→扫描方案，进行自定义添加。

扫描方案

点击添加方案，可以自定义选择扫描规则。

1.2 创建项目

在项目页面点击新建项目，配置项目的基本信息，如名称，项目权限，成员等。​

新建项目

流水线信息输入完毕之后，点击下一步配置扫描，扫描方式选择服务器扫描（包上传），扫描方案安装代码选择相应的扫描方案、扫描环境、以及是否进行覆盖测试。

​项目扫描方式

点击确定成功创建项目。

1.3 添加成员

项目创建成功之后，需要对访问项目的成员进行管理。首先添加系统用户，依次点击系统设置->用户与权限->用户，在用户页面对系统用户进行管理。​

​​用户列表 

系统用户添加完成之后，可以对项目成员进行添加，在项目详情→设置→成员，进入成员编辑页面。

​​成员列表 

如果用户在创建项目未选成员，那么流水线默认有创建人和admin两个成员。点击添加用户，添加的成员列表从系统用户列表获取。点击添加用户，勾选添加用户，点击确定即可成功添加流水线成员。

1.4 分配权限

添加项目成员后，可以对成员分配权限、修改角色，点击流水线详情→设置→权限，可浏览到内置角色，也可以对角色进行新增。

​​角色列表 

在流水线详情→设置→成员，点击“角色修改”，对成员角色进行修改。成员角色可多选。

​​角色修改

2、代码扫描

例如创建Java代码扫描，选择如下信息，完成创建。

创建代码扫描

完成创建后，进入项目详情，在扫描报告页面，上传代码压缩包。

上传代码包

成功上传代码包后，扫描报告页面显示为扫描记录列表，在执行代码扫描之前，还可以配置质量门禁。超过设定的门禁表示代码扫描不通过。

设置门禁

门禁设置完成后，点击扫描按钮执行扫描。

代码扫描

3、查看扫描报告

3.1 查看扫描报告

代码扫描完成后，点击报告编号，查看详细代码扫描报告。

代码扫描列表

进入代码扫描详情后，默认进入概览界面，显示当前代码扫描结果，各个登记问题分类，以及度量的概况。

概况

在问题tab可查看扫描的详细问题名称、问题类型、所在代码文件名、问题登记以及问题状态。

问题

点击问题，可查看详细问题。用户可根据提示修改代码，或者进行忽略问题。

查看详细问题

点击度量tab，可查看代码扫描重复率、复杂度、覆盖率扫描报告。

度量

代码tab，可查看代码问题分布。

代码

3.2 统计

sourcefare支持查看项目多次扫描的统计图，包含安全、功能、规范问题的统计图；重复率、复杂度、覆盖率统计图。

点击左侧的统计tab，查看复杂率统计趋势图。

统计图

有兴趣的朋友欢迎前往tiklab官网体验在线版本、或者下载私有化部署体验。