源代码扫描
源代码扫描可帮助您在安全漏洞进入生产环境之前直接在源代码中识别它们。通过将您的源代码仓库连接到 Ostorlab,您可以扫描项目中的常见安全问题,审查可操作的发现,并在开发生命周期的早期优先进行修复。
本指南将引导您配置源代码集成并启动您的首次扫描。
⚙️ 配置源代码集成
在扫描仓库之前,您需要将您的源代码提供商连接 to Ostorlab。
- 打开 Ostorlab 控制面板。
- 点击左上角的汉堡菜单。
- 导航到 Integrations(集成)。

- 选择 Source Code(源代码)类别。

- 选择您要连接的源代码提供商(GitHub、GitLab、Bitbucket、Azure DevOps 或 自托管 Git)。
- 按照提供商特定的配置步骤授权访问您的仓库。
集成完成后,在创建源代码扫描时,您的仓库将可供选择。
🚀 创建新的源代码扫描
步骤 1:运行新扫描
配置集成后:
- 打开 Ostorlab 控制面板。
- 点击侧边栏中的汉堡菜单图标,然后选择 Scanning -> New Scan。
3.(可选)为您的安全审计提供描述性的标题。

步骤 2:选择扫描资产
创建新扫描时:
- 选择 Code Repository(代码仓库)作为扫描资产。

- 选择您要扫描的仓库。

- 选择适当的 Target Type(目标类型)。
- 点击 Continue。
步骤 3:配置 AI 提供商和 Effort(工作量)
源代码扫描是一种代理式、AI 驱动的扫描,可以使用 Ostorlab 的 Cybermodels 或通过 Bring Your Own Key (BYOK) 使用您的自定义 API 密钥运行。
- 选择您要在扫描中使用的 AI 提供商,可以是 Cybermodels 或者是 BYOK。

- 或者选择 BYOK 作为 AI 提供商。

步骤 4:配置 Effort(工作量)级别
Effort 级别决定了 Ostorlab 对您仓库的分析深度。更高的工作量级别提供更广泛的的代码覆盖率和更深入的分析,但可能会增加扫描持续时间和 AI Token 的消耗。
- 选择最适合您的仓库和安全要求的 Effort 级别:
- Core(200 积分): 执行快速基线分析,非常适合开发过程中的快速安全检查。
- Advanced(500 积分): 提供更深入的分析和更广泛的代码覆盖率,以识别更广泛的安全问题。
- Elite(1000 积分): 执行最全面的分析,最大化覆盖率以检测复杂且难以发现的漏洞。

- 点击 Continue。
步骤 5:选择扫描配置文件
选择 Repository Scan Profile,然后点击 Submit 开始扫描。

步骤 6:审查结果
扫描完成后,您可以在 Ostorlab 控制面板中审查检测到的发现。
每个发现都包括其严重程度、受影响的文件和修复指南,以帮助您优先处理和解决安全问题。
