project.rst

3 项目配置

项目扫描配置，主要是使用 yaml 文件来编写一个配置文件，方便 seecode-scanner 的 -c 参数来执行扫描。其可以省去繁琐的命令行参数和 Celery 的集成，更方便测试时使用。

3.1 配置格式

其内容格式如下， 这一个线上(online)项目的扫描配置：

scan:
  # 任务ID
  task_id: 9527
  # 扫描模板
  template: "normal"
  # 扫描线程数
  threads: 20
  # 日志
  log_level: "debug"
  # 工作目录
  work_dir: "/data/seecode/"
  # 项目 git 地址
  project_ssh: "git@github.com:seecode-audit/vuln_java.git"
  # web
  project_web: "https://github.com/seecode-audit/vuln_java"
  # 项目名称
  project_name: "vuln_java"
  # 分支名称
  project_branch: "master"
  # 项目类型： online， offline
  project_type: "online"
  # 上传方式: local, ftp, aws
  project_storage_type: "local"
  # 文件原始名称
  project_file_origin_name: ""
  # 文件MD5
  project_file_hash: ""
  # 分组名称
  group_name: "seecode-audit"
  # 分组key
  group_key: "seecode-audit"
  # 取证开始行偏移
  evidence_start_line_offset: -1
  # 取证行数
  evidence_count: 5
  # 强制同步线上代码
  force_sync_code: True
  # 同步漏洞到 server 需要与 task_id 参数一起使用
  sync_vuln_to_server: True
  # 结果格式
  result_format: "json"
  # 结果文件
  result_file: "9527.json"

线下(offline)项目的扫描配置内容大致如下：

scan:
  task_id: 184
  template: "normal"
  log_level: "debug"
  work_dir: "/data/seecode/"
  project_name: "xxxxx"
  project_branch: "master"
  project_ssh: "ftp://192.168.1.100:21/home/seecode/projects/XIANXIAXIANGMUZU/1566816638.zip"
  project_web: ""
  project_file_origin_name: "xxxxx.zip"
  project_file_hash: "1b6d61ee077eb0b9c12465e24b388033"
  group_name: "线下项目组"
  group_key: "xianxiaxiangmuzu"
  project_type: "offline"
  project_storage_type: "ftp"
  evidence_start_line_offset: -1
  evidence_count: 5
  result_file: "184.json"
  sync_vuln_to_server: True
  force_sync_code: False

3.2 参数说明

scan 是 yaml 的主节点，默认配置文件中仅存在这一个主节点。

task_id

扫描任务的 id，该 id 来自 SeeCode Audit 系统中下发的扫描任务 id，一般形式为整型。

template

扫描模板名称，系统默认自带了三个扫描模板: default、normal、component_scan。

• default 扫描模板包含了：RuleScanner、PluginScanner 两个扫描引擎
• normal 扫描模板包含了：RuleScanner、PluginScanner、SonarScanner 三个扫描引擎
• component_scan 扫描模板包含了：RuleScanner 一个扫描引擎

threads

扫描线程数，默认值为 20 个。

log_level

扫描任务的日志级别，其范围：info、debug、error。

work_dir

扫描的工作目录，默认目录为: "/data/seecode/"。

project_ssh

项目 git 地址，如: "git@github.com/seecode-audit/vuln_java.git" 或 "https://github.com/seecode-audit/vuln_java.git"。

project_web

项目的 http 访问地址， 如: "https://github.com/seecode-audit/vuln_java"。

project_name

项目名称，如: "vuln_java"。

project_branch

分支名称，如: "master"。

project_type

项目类型，其范围分为： online、offline。

• online 为线上项目，其必须包含 project_ssh 参数，用于使用 git 来拉取源代码
• offline 为线下项目，其必须包含 project_ssh 参数，用于下载压缩文件，系统默认只支持 zip 压缩

project_storage_type

离线文件的存储方式，其范围: local, ftp, aws

• local 代码文件在本地存储
• ftp 需要使用 ftp 进行下载
• aws 需要使用 aws 进行下载

project_file_origin_name

离线文件原始名称, 当 project_type 类型为 offline 时有效。

project_file_hash

离线文件文件 MD5, 当 project_type 类型为 offline 时有效。

group_name

项目分组名称，如: "线下项目组"。

group_key

分组 key，如: "xianxiaxiangmuzu"。

evidence_start_line_offset

取证开始行偏移，默认为 -1，问题行的上一行。

evidence_count

取证总行数，默认 5。

force_sync_code

强制同步线上代码，布尔型参数，默认为 True。

sync_vuln_to_server

同步漏洞到 server 需要与 task_id 参数一起使用，布尔型参数，默认为 True。

result_format

结果格式，默认 "json" 格式(目前只支持 json )。

result_file

结果文件，默认为 task_id 作为结果的文件名称，如: "453.json"。