我有一个带有 Checkmarx 插件的竹计划。CxSAST 扫描工作正常,扫描代码并给出扫描报告,但我猜 CxOSA 扫描没有发生。CxOSA 的扫描显示,虽然我使用了很多开源 JS 库,如 lodash、Jquery 等,但分析了 0 个库。我也浏览了文档,但运气不佳。我对 Checkmarx 很陌生,感谢任何帮助。这是我在 Bamboo PlanSpec.java 文件中使用的 CxOSA 相关配置:
.put("cxOsaArchiveIncludePatterns", "*.zip, *.war, *.ear, *.tgz")
.put("osaEnabled", "true")
所以看来我有答案了。作为 checkmarx 配置的一部分,我们需要设置几个键值对。最初,我删除了一些值为空字符串的键。其中关键是cxOsaFilterPatterns。当我用一个空字符串值添加这个键时,Checkmarx 开始扫描 CxOSA 部分。
作为参考,您可以使用这段代码作为配置。
("serverCredentialsSection", "globalConfigurationServer")
("projectName", "Your project name")
("teamPathName", "Your team name")
("teamPathId", "Your team id")
("serverUrl", "Checkmarx server URL")
("username", "Checkmarx username")
("password", "Checkmarx password")
("presetName", "Checkmarx Default")
("cxSastSection", "customConfigurationCxSAST")
("folderExclusions", "node_modules")
("filterPatterns","!**/_cvs/**/*, !**/.svn/**/*, !**/.hg/**/*, !**/.git/**/*, !**/.bzr/**/*, !**/bin/**/*,!**/obj/**/*, !**/backup/**/*, !**/.idea/**/*, !**/*.DS_Store)
("isIncremental", "true")
("generatePDFReport", "true")
("intervalBegins", "01:00")
("intervalEnds", "04:00")
("osaEnabled", "true")
("cxOsaFilterPatterns", "")
("cxOsaArchiveIncludePatterns", "*.zip, *.war, *.ear, *.tgz")
("scanControlSection", "globalConfigurationControl")
("isSynchronous", "true")
("presetId", "36")
我对 CxOSA 有一些经验。当我得到 0 个结果时,这是因为我没有扫描正确的文件(二进制文件而不是代码)或者因为我没有在 OSA 扫描中启用依赖关系解析。我认为这是你的问题,你应该添加一个参数,如(“executepackagedependency”,“true”)。我使用的是插件而不是 PlanSpec.java,所以我不确定确切的参数名称