CxOSA 扫描说“分析了 0 个库”

CxOSA scan saying "0 libraries were analyzed"

我有一个带有 Checkmarx 插件的 bamboo 计划。 CxSAST 扫描工作正常,扫描代码并提供扫描报告,但我猜 CxOSA 扫描没有进行。 CxOSA 的扫描显示 0 个库已分析 尽管我使用了很多开源 JS 库,如 lodash、Jquery 等。我也浏览了文档,但是运气不好。我是 Checkmarx 的新手,感谢您的帮助。这是我在我的 Bamboo PlanSpec.java 文件中使用的 CxOSA 相关配置:

.put("cxOsaArchiveIncludePatterns", "*.zip, *.war, *.ear, *.tgz")
.put("osaEnabled", "true")

我对 CxOSA 有一些经验。当我得到 0 个结果时,这是因为我没有扫描正确的文件(二进制文件而不是代码)或者因为我没有在 OSA 扫描中启用依赖项解析。我认为这是您的问题,您应该添加一个参数,例如 ("executepackagedependency", "true")。我使用的是插件而不是 PlanSpec.java,所以我不确定确切的参数名称

看来我找到了答案。我们需要将几个键值对设置为 checkmarx 配置的一部分。最初,我删除了一些值为空字符串的键。其中的关键是 cxOsaFilterPatterns。当我用一个空字符串值添加这个键时,Checkmarx 开始扫描 CxOSA 部分。

作为参考,您可以使用这段代码作为配置。

   ("serverCredentialsSection", "globalConfigurationServer")
   ("projectName", "Your project name")
   ("teamPathName", "Your team name")
   ("teamPathId", "Your team id")
   ("serverUrl", "Checkmarx server URL")
   ("username", "Checkmarx username")
   ("password", "Checkmarx password")
   ("presetName", "Checkmarx Default")
   ("cxSastSection", "customConfigurationCxSAST")
   ("folderExclusions", "node_modules")
   ("filterPatterns","!**/_cvs/**/*, !**/.svn/**/*,   !**/.hg/**/*,   !**/.git/**/*,  !**/.bzr/**/*, !**/bin/**/*,!**/obj/**/*,  !**/backup/**/*, !**/.idea/**/*, !**/*.DS_Store)
   ("isIncremental", "true")
   ("generatePDFReport", "true")
   ("intervalBegins", "01:00")
   ("intervalEnds", "04:00")
   ("osaEnabled", "true")
   ("cxOsaFilterPatterns", "")
   ("cxOsaArchiveIncludePatterns", "*.zip, *.war, *.ear, *.tgz")
   ("scanControlSection", "globalConfigurationControl")
   ("isSynchronous", "true")
   ("presetId", "36")