我正在尝试在 bitbucket 管道上运行 Snyk。我正在运行 Composer 和 npm 的管道,一切正常,但我也想运行它进行静态代码分析。没有任何文档显示这是如何实现的。我尝试使用 NPM 安装 snyk 然后运行
snyk auth TOKEN
snyk code test
snyk monitor
但是静态代码分析不会显示在 Snyk 仪表板上。寻找命令或文档以通过 bitbucket pipline 运行静态代码分析。
不幸的是,在您的 Snyk 帐户中创建要持续监控的项目的监视命令尚不适用于 Snyk Code (SAST)。
好消息是它很快就会推出,因为目前处于封闭测试阶段,我们的一些客户被选为 Beta 测试者来测试其功能。
该命令将如下所示
snyk code test --report命令可用后,我们会立即通知您。
根据他们自己的文档这是配置:
...
- pipe: snyk/snyk-scan:0.4.6
variables:
SNYK_TOKEN: "token"
LANGUAGE: "composer"
DONT_BREAK_BUILD: "True"
DEBUG: "True"
使用完成身份验证后
snyk auth $TOKEN
运行下面的命令来运行 snyk 扫描并将结果发布到您的 snyk 仪表板。如果项目尚不存在,它将创建一个项目:
snyk code monitor --all-projects --org=$ORG_ID --report
这将在 Snyk 仪表板上创建监视器/snyk 扫描报告,您稍后可以为其选择 snyk 扫描的自动频率。
如果您只想运行 snyk 扫描但不想在 snyk 仪表板上发布,请使用以下命令:
snyk code test --all-projects --org=$ORG_ID --report
如果您想要扫描结果的 json 输出,只需添加“--json”