我们目前正在Azure DevOps管道中使用WhiteSource Bolt任务来扫描我们的代码以查找已知漏洞。此任务将生成一份关于管道级别的报告,此外还有一份关于所有管道的所有漏洞的总结报告。此摘要报告可以通过不同格式的电子邮件导出/发送,但只能从UI
我们希望获得新漏洞的通知。假设我们当前的代码没有漏洞,所以我们希望在管道任务完成并发现一些新的漏洞时得到通知。目前可以在UI中看到这些信息,但似乎没有发送通知的选项(因此我们会自动收到通知,而不是手动检查报告(。
有人知道任何可以与Azure DevOps管道集成并发送通知的代码漏洞扫描开源解决方案吗?WhiteSource Bolt对我们来说效果很好,只是缺少了通知部分(我们知道付费版本,但起价为5k/年,这太高了,因为我们还是一家小型初创公司(。提前感谢!
我建议您使用第三个扩展:Send Email,它是免费的,可以在构建管道的电子邮件中添加附件。
我担心使用WhiteSource Bolt任务无法实现这一点,因为它不会生成任何输出文件或日志。
您可以查看OWASP依赖性检查任务,该任务将漏洞数据导出为HTML、JSON、XML、CSV、JUnit格式的报告。这样,您就可以在管道中添加脚本任务来读取报告,并在脚本任务中设置一个标志变量(例如sendEmail(来指示是否应该发送警报电子邮件。见下文:
- powershell: |
##read the report file
...
if(condition){
echo "##vso[task.setvariable variable=sendEmail]true"
}
然后,当变量sendEmail为true时,可以使用发送电子邮件任务的条件来发送电子邮件。
- task: rvo.SendEmailTask.send-email-build-task.SendEmail@1
displayName: 'Send an email with subject'
inputs:
To: ..
From: ..
Subject: ..
condition: eq(variables.sendEmail, 'true')
您也可以签出安全扫描扩展。