源代码扫描
步骤 1 - 在Scantist上注册一个帐号
首先,点击右侧的连接前往我们的工具页面 https://scantist.io ,用户可以根据自身偏好,选择注册/登录的方法。Scantist 支持用户通过邮件注册帐号再登录的方式来使用工具,Scantist也支持用户直接通过 SCM (Source Code Management)的帐号进行登录。
Scantist 建议用户可以直接通过 SCM 帐号登录Scantist SCA,除了登录更省时省事之外,用户也无需在之后为了将Github/ Gitlab等帐号与Scantist连接而进行更多的操作。
页面内容:
步骤 2 - 添加项目
以下步骤将以GitHub为例,描述如何在Scantist工具上添加源代码扫描的项目。其他的SCM工具亦可根据该步骤来添加项目。
用户可根据以下步骤添加项目:
点击下方圆圈内的“添加项目”按钮。
接着,页面将会跳转至“项目管理”页面。
如果用户是通过SCM(GitHub/ GitLab等)账号来登录Scantist SCA的情况下,用户可以在GitHub/ GitLab栏目下看到用户在SCM账号内的所有项目。
用户在找查到想要链接的项目之后,只需点击右侧的“添加”按钮,就能轻松在Scantist SCA里建立新的项目。
如果用户是通过SCM账号登录,但却无法在GitHub/ GitLab栏目下找到相关的项目,其原因有可能是因为该项目所使用的程序语言,当前尚未得到Scantist SCA的支援(目前支援的语言有C/C++, Java, JavaScript, Python等)。或者,另一种可能是,该项目属于SCM内的私人项目,但用户当前所使用的Scantist SCA配套没有足够的权限对私人项目进行操作。
步骤 3 - CI 集成与扫描触发
以下步骤将以Travis CI为例,描述如何将Scantist工具与用户的CI连接集成。其他的CI亦可根据该步骤来完成与Scantist的连接集成。
对于将源代码存放在SCM的repo, 如:Java, JavaScript 和 Python 等项目,用户必须要将Scantist SCA集成到用户的CI集成中才能触发扫描。用户需要生成并添加Scantist的访问令牌,并与用户的CI集成,其具体步骤如下:
点击在用户界面右上方的带有齿轮图标的标志,然后选择“机构”。
点击“访问令牌”栏目。
接着,为该访问令牌命名,完成后点击右侧的“创建”按钮即可。
访问令牌创建成功后,用户将能通过点击“复制”按钮,对访问令牌进行复制。(注:此令牌将不会再次被分发,用户务须将此令牌好好保存。)
- 令牌创建成功后,回到Travis CI的页面上, 前往用户要扫描的项目中settings 的页面,然后在 settings 底下, 找到Environmental Variables, 在Name 的部分填上 SCANTISTTOKEN,并且在Value的地方贴上之前复制的访问令牌,最后点击右侧的Add 即可完成设置。
最后,在用户的GitHub repo里的 .travis.yml 文件中,在文件的最末端加上以下指令,即可让Scantist的Travis脚本接受从Travis CI发来的Build result。
.travis.ymlafter_success: - bash <(curl -s https://scripts.scantist.com/ci-travis.sh)
- 所有设置完成后,用户可要Travis CI上点击 "Trigger Build",即可触发源代码扫描。