#python #security #veracode
#python #Безопасность #veracode
Вопрос:
У меня есть несколько скриптов python (эти скрипты запускаются на Airflow.) с requirements.txt . Я хочу сканировать эти скрипты с помощью статического сканирования Veraode. Я попытался заархивировать это и загрузить вручную, чтобы отсканировать это, и результат прошел без серьезности, но у меня было беспокойство по поводу requirement.txt (библиотеки зависимостей) вот как я буду сканировать это. Итак, я создал виртуальную среду и установил все библиотеки зависимостей, а затем заархивировал ее своими скриптами и загрузил, результат передан, но в SCA ничего нет. Это правильный способ загрузки и сканирования. Как можно сканировать скрипты python вручную в Veracode. В настоящее время мы пытаемся выполнить сканирование вручную, и мы попытаемся автоматизировать это с помощью Jenkins.
Ответ №1:
Согласно документации https://help.veracode.com/r/compilation_python у вас должно быть все хорошо, если вы загрузили скрипты в zip-файле.
Комментарии:
1. Спасибо, вы говорите, что загрузка только скриптов python в порядке или загрузка с виртуальной средой в порядке, но как насчет зависимостей, чтобы зависимости не сканировались Veracode. Ничего не отображается в Veracode SCA (анализ состава программного обеспечения). В нем должны отображаться библиотеки с открытым исходным кодом, которые я добавил в virtual env или requiremets.txt
2. по этой ссылке вы можете увидеть, как упаковывать приложения Python, help.veracode.com/r/compilation_python , точнее, в нем говорится: «Загрузите сжатый ZIP-архив, содержащий весь Python и HTML-код, сохраняя структуру проекта, в Veracode. Не включайте сторонние пакеты. Не загружайте отдельные исходные файлы Python. При использовании анализа состава программного обеспечения, интегрированного в Veracode, включите Pipfile. заблокируйте корень вашего ZIP-архива. «, чтобы вы не загружали исходные библиотеки