Product Logo

Menü

DevGuard Autosetup

Vorbereitung

Bevor mit dem Auto-Setup begonnen werden kann müssen sie folgendes Sicherstellen.

  • Ihre Organisation besitzt eine Projektgruppe auf openCode
  • Ihr Projekt, dass sie an den openCode DevGuard Scanner anschließen möchten besitzt ein eigenes Repository in der openCode Gruppe Ihrer Organisation
  • Sie besitzen die Berechtigung Merges in dem Projekt durchzuführen

Anleitung zur Repository Anbindung



Melden Sie sich in Ihrem openCode DevGuard Account an.

Sobald Sie anschließend über das Menü auf das zu scannende openCode Repostitory navigieren, wird das Auto-Setup direkt für Sie angeboten werden.



Drücken Sie nun den Button “Use Auto-Setup”, um den Prozess zu beginnen. Der Beginn des Auto-Setups ist visuell wahrnehmbar.



Sobald das Auto-Setup auf der openCode DevGuard Seite abgeschlossen ist, wird dies durch grüne Haken visualisiert und es besteht die Möglichkeit den entsprechenden Merge-Request in openCode selbst einzusehen.



Geben Sie nun im openCode Repository den entsprechenden Merge Request frei, um die Verbindung zu vollenden. Hinweis: Es ist normal, dass Teile der Pipeline fehlschlagen, sollten Schwachstellen gefunden werden.



Der erste Security Scan Ihres Projektes wird nun automatisch durchgeführt.

Behebung der Schwachstellen

Informationseinsicht

Nach einer kurzen Zeit und dem Durchlaufen der Pipeline werden die ersten Ergebnisse in ihrer openCode DevGuard Oberfläche innerhalb des überprüften Repositories ersichtlich werden.



In dem “Overview” Tab werden Ihnen eine Zusammenfassung des aktuellen Projektzustandes dargestellt. Wenn Sie sich nun die offenen Sicherheitslücken in Ihrer Software anschauen möchten, navigieren Sie zum Tab “Dependency Risks” und öffnen diesen. Dort werden Ihnen alle Ihre vulnerablen Softwarepakete, die in Ihrem Projekt verwendet werden granular dargestellt.



Um die Vulnerablen Pakete und die entsprechenden Schwachstellen genauer zu betrachten und mehr Informationen über diese einzusehen, navigieren Sie nun auf die jeweilige vulnerable Komponente und klicken auf diese, um mehr Informationen zu erlangen.



Nun können Sie die Inforamtionen entweder in openCode DevGuard selbst oder in dem simultan geöffneten openCode Issues Ihres Projektes einsehen, die Sie zur Schwachstellenbehandlung benötigen.

Schwachstellenbehebung

Wenn eine Lösung zu Behebung besteht und die Schwachstelle nun behoben werden soll können Sie den notwendigen Code aus dem jeweiligen Lösungsfeld kopieren und in Ihrer Entwicklungsumgebung ausführen.

Nachdem die Schwachstellen (z. B. durch ein Update der vulnerablen Komponenten) behoben wurde. Können Sie die neuen Ergebnisse des automatisch mit Ihrem Commit durchgeführten erneuten Security Scans entweder innerhalb der Pipeline-Logs oder in Ihrem “Overview” Tab in DevGuard einsehen. Das entsprechend existierende openCode Issue wird bei Behebung der Schwachstelle automatisch für Sie geschlossen und so für Sie dokumentiert.