Scan de Code Source
Le Scan de Code Source vous aide à identifier les vulnérabilités de sécurité directement dans votre code source avant qu'elles n'atteignent la production. En connectant votre dépôt de code source à Ostorlab, vous pouvez analyser vos projets pour détecter les problèmes de sécurité courants, examiner les résultats exploitables et hiérarchiser les corrections dès le début du cycle de développement.
Ce guide vous accompagne dans la configuration d'une intégration de code source et le lancement de votre premier scan.
⚙️ Configurer une Intégration de Code Source
Avant de pouvoir scanner un dépôt, vous devez connecter votre fournisseur de code source à Ostorlab.
- Ouvrez le Tableau de bord Ostorlab.
- Cliquez sur le Menu Hamburger dans le coin supérieur gauche.
- Accédez à Integrations.

- Sélectionnez la catégorie Source Code.

- Choisissez le fournisseur de code source que vous souhaitez connecter (GitHub, GitLab, Bitbucket, Azure DevOps ou Self-Hosted Git).
- Suivez les étapes de configuration spécifiques au fournisseur pour autoriser l'accès à vos dépôts.
Une fois l'intégration terminée, vos dépôts seront disponibles lors de la création d'un scan de code source.
🚀 Créer un Nouveau Scan de Code Source
Étape 1 : Lancer un Nouveau Scan
Après avoir configuré votre intégration :
- Ouvrez le Tableau de bord Ostorlab.
- Cliquez sur l'icône Menu Hamburger dans la barre latérale et sélectionnez Scanning -> New Scan.

- (Optionnel) Saisissez un titre descriptif pour votre audit de sécurité.

Étape 2 : Sélectionner l'Actif à Scanner
Lors de la création d'un nouveau scan :
- Sélectionnez Code Repository comme actif de scan.

- Choisissez le dépôt que vous souhaitez scanner.

- Sélectionnez le Target Type approprié.
- Cliquez sur Continue.
Étape 3 : Configurer le Fournisseur d'IA & l'Effort
Le Scan de Code Source est un scan agentique piloté par l'IA qui peut s'exécuter à l'aide des Cybermodels d'Ostorlab ou de votre clé API personnalisée via Bring Your Own Key (BYOK).
- Sélectionnez le fournisseur d'IA que vous souhaitez utiliser pour le scan, soit Cybermodels, soit via BYOK.

- Ou sélectionnez BYOK comme fournisseur d'IA.

Étape 4 : Configurer le Niveau d'Effort
Le niveau d'Effort détermine l'étendue de l'analyse de votre dépôt par Ostorlab. Des niveaux d'effort plus élevés offrent une couverture de code plus large et une analyse mais peuvent augmenter la durée du scan et la consommation de jetons d'IA.
- Choisissez le niveau d'effort qui correspond le mieux à votre dépôt et à vos exigences de sécurité :
- Core (200 jetons) : Effectue une analyse de référence rapide, idéale pour des vérifications de sécurité rapides pendant le développement.
- Advanced (500 jetons) : Fournit une analyse plus approfondie avec une couverture de code plus large pour identifier un éventail plus vaste de problèmes de sécurité.
- Elite (1000 jetons) : Effectue l'analyse la plus complète, maximisant la couverture pour détecter les vulnérabilités complexes et difficiles à trouver.

- Cliquez sur Continue.
Étape 5 : Sélectionner un Profil de Scan
Sélectionnez le profil de scan Repository Scan Profile, puis cliquez sur Submit pour lancer l'analyse.

Étape 6 : Examiner les Résultats
Une fois le scan terminé, vous pouvez examiner les vulnérabilités détectées dans le tableau de bord d'Ostorlab.
Chaque vulnérabilité inclut sa sévérité, les fichiers affectés et des conseils de remédiation pour vous aider à hiérarchiser et résoudre les problèmes de sécurité.
