Veracode Pipeline Scan

Veracode Pipeline Scan使您能够在开发流水线中评估应用程序的安全性。该流水线扫描直接嵌入团队开发流程，提供关于新提交引入的安全漏洞的快速反馈。您可以使用Pipeline Scan基于漏洞严重程度和CWE类别中断构建，还可以评估结果与之前扫描相比的变化，从而在应用程序发布到生产环境前识别其中存在的漏洞。有关应用程序打包要求、语言支持、API参数、日志记录和代码示例的信息，请访问Veracode帮助中心。

镜像详情

有两个变体：

• veracode/pipeline-scan
  环境变体，适用于需要shell的场景。这可能是流水线或其他需要shell的情况下的首选。latest标签应用于此变体。
• veracode/pipeline-scan:cmd
  命令变体，适用于只想从命令行运行工具的场景，在通过shell别名运行时非常有用。

镜像基于eclipse-temurin的Docker***镜像构建。Pipeline Scan工具jar安装在/opt/veracode/目录下。默认情况下，容器以非特权本地用户身份运行。

作为环境运行

在GitLab流水线中，通过环境变量提供API凭证的示例：

yaml
scan-my-java-app:
  image: veracode/pipeline-scan:latest
  script:
    - java -jar /opt/veracode/pipeline-scan.jar 
        -vid $VERACODE_API_KEY_ID -vkey $VERACODE_API_KEY_SECRET 
        --file /path/to/built/app.jar

scan-my-python-app:
  image: veracode/pipeline-scan:latest
  script:
    - zip myapp.zip ./src/
    - java -jar /opt/veracode/pipeline-scan.jar
        -vid $VERACODE_API_KEY_ID -vkey $VERACODE_API_KEY_SECRET
        --file myapp.zip

本地shell运行，将当前主机OS目录挂载到容器内：

bash
docker run -it --rm -v $PWD:/home/luser veracode/pipeline-scan

默认情况下，容器以非特权本地用户身份在/home/luser目录下运行。如有需要，您可以覆盖这些默认设置。使用--user参数可获取root shell，使用--workdir参数可更改工作目录：

bash
docker run -it --rm --user root veracode/pipeline-scan
docker run -it --rm --workdir /my/app/path veracode/pipeline-scan
docker run -it --rm --user root --workdir /my/app/path veracode/pipeline-scan

作为命令运行

挂载Veracode凭证文件到容器中运行Pipeline Scan：

bash
docker run -it --rm \
    -v ~/.veracode/credentials:/home/luser/.veracode/credentials \
    -v /host/os/path/to/myapp/:/myapp/ \
    veracode/pipeline-scan:cmd \
        --file /myapp/myapp.jar

通过环境变量提供API凭证运行Pipeline Scan：

bash
docker run -it --rm \
    --env VERACODE_API_KEY_ID=c2db7664... \
    --env VERACODE_API_KEY_SECRET=24f62c81... \
    -v /host/os/path/to/myapp/:/myapp/ \
    veracode/pipeline-scan:cmd \
        -vid $VERACODE_API_KEY_ID -vkey $VERACODE_API_KEY_SECRET \
        --file /myapp/myapp.jar

查看所有可用选项和其他帮助：

bash
docker run -it --rm veracode/pipeline-scan:cmd --help

别名

命令变体通过shell别名运行时特别有用：

bash
alias 'veracode-pipeline-scan'='docker run -it --rm -v $PWD:/home/luser -v ~/.veracode/credentials:/home/luser/.veracode/credentials veracode/pipeline-scan:cmd'

之后，容器可以像本地安装的可执行文件一样运行：

bash
veracode-pipeline-scan --help
veracode-pipeline-scan --file ./myapp.jar
veracode-pipeline-scan -f ./myapp.jar -p myproject -bf baseline.json