sourcefare零基础学习，创建第一个扫描方案(服务端Git方式)

sourcefare是一款国产开源免费的代码扫描工具，包含安全漏洞、编码缺陷、合规性问题扫描，支持常见的Java、JavaScript、Go、Python、C++、C#等语言，程序帮助一键安装、零部署，页面管理简洁明了，本文将介绍如何创建项目，使用服务端Git方式获取代码进行代码扫描。

1、创建项目

通过安装启动完毕后，默认能够利用 http://ip:8900 访问，默认用户名/密码为admin/123456。

默认支持通过账号密码登录，满足基础登录需求。若得使用企业微信、钉钉或 LDAP 等高级登录方式，可参阅sourcefare文档获取相关配置说明。​

​​登录页 ​

进入框架后，可根据不同需求来创建不同的项目。sourcefare拥护服务器扫描和客户端扫描，服务器扫描分为代码压缩包上传扫描和Git代码仓库扫描，客户端扫描提供给CICD工具Arbess集成扫描。

1.1 配置代码扫描方案

sourcefare内置多种扫描规则，根据语言内置代码扫描方案。

通过代码扫描方式能够自定义设置，进入体系设置→扫描方案，进行自定义添加。

扫描方案

点击添加方案，可以自定义选择扫描规则。

1.2 创建项目

在项目页面点击新建项目，配备项目的基本信息，如名称，项目权限，成员等。​

新建项目

流水线信息输入完毕之后，点击下一步配置扫描，扫描方式选择服务器扫描（Git），服务器扫描（Git）方式支持GitPuk代码仓库，需要提前在环境设置→集成开放进行维护。

添加服务集成

点击添加仓库服务，输入GitPuk服务地址以及用户名密码进行添加。部署服务集成后，选择扫描方案、扫描环境、以及是否进行覆盖测试。

​任务扫描方式

点击确定成功创建项目。

1.2 添加成员

项目创建成功之后，需要对访问项目的成员进行管理。首先添加架构用户，依次点击体系设置->用户与权限->用户，在用户页面对系统用户进行管理。​

​​用户列表

体系用户添加完成之后，允许对项目成员进行添加，在项目详情→设置→成员，进入成员编辑页面。

​​成员列表

若是用户在创建项目未选成员，那么流水线默认有创建人和admin两个成员。点击添加用户，添加的成员列表从系统用户列表获取。点击添加用户，勾选添加用户，点击确定即可成功添加流水线成员。

1.3 分配权限

添加工程成员后，可以对成员分配权限、修改角色，点击流水线详情→设置→权限通过，可浏览到内置角色，也能够对角色进行新增。

​​角色列表

在流水线详情→设置→成员，点击“角色修改”，对成员角色进行修改。成员角色可多选。

​​角色修改

2、代码扫描

先支持的仓库服务有GitPuk、GitLab、Gitee等主流仓库，例如创建Java代码扫描，选择如下信息，完成创建。

创建代码扫描

搞定创建后，进入项目详情，在执行代码扫描之前，还允许配置质量门禁。超过设定的门禁表示代码扫描不通过。

设置门禁

门禁设置完成后，点击扫描按钮执行扫描。

代码扫描

3、查看扫描报告

3.1 查看扫描报告

代码扫描完成后，点击报告编号，查看详细代码扫描报告。

代码扫描列表

进入代码扫描详情后，默认进入概览界面，显示当前代码扫描结果，各个登记挑战分类，以及度量的概况。

概况

在问题tab可查看扫描的详细问题名称、问题类型、所在代码文件名、障碍登记以及疑问状态。

问题

点击问题，可查看详细问题。用户可根据提示修改代码，或者进行忽略挑战。

查看详细问题

点击度量tab，可查看代码扫描重复率、复杂度、覆盖率扫描报告。

度量

代码tab，可查看代码困难分布。

代码

3.2 统计

sourcefare帮助查看项目多次扫描的统计图，包含安全、功能、规范困难的统计图；重复率、复杂度、覆盖率统计图。

点击左侧的统计tab，查看复杂率统计趋势图。

统计图

有兴趣的开发者朋友能够前往官网体验、下载。