gpt4 book ai didi

python - coverity 工具可以扫描 python 代码库以查找 SCA 和安全问题吗?

转载 作者:太空宇宙 更新时间:2023-11-03 11:41:28 27 4
gpt4 key购买 nike

覆盖率是否可以用于扫描 python 代码库。如果是,那么在 cov-build 命令中要给出什么输入?最好有完整的 cov 命令序列来扫描 python 代码。

最佳答案

假设您有一个如下所示的虚拟项目:

src/
file.py
file2.py
tests/
test1.py
test2.py
3rdparty/
skip.py
setup.py

而你想分析除3rdparty文件夹以外的所有内容,可以执行以下命令:

cov-configure --python

cov-build --dir foo \
--no-command \
--fs-capture-search ./ \
--fs-capture-search-exclude-regex ./3rdparty

cov-analyze --dir foo \
--all \
--aggressiveness-level high

cov-format-errors --dir foo \
--html-output results

cov-commit-defects --dir foo \
--host coverity.mycompany.com \
--stream MYSTREAM \
--auth-key-file mycoverity.key

解释:

cov-configure

通知 Coverity 您将扫描 Python 代码

cov-构建

通知 Coverity 构建您的代码。由于 Python 未编译,因此不需要构建 (--no-command) 但它仍然需要知道从哪里获取源代码 (--fs-capture-search)。您可以添加多个 --fs-capture-search--fs-capture-search-exclude-regex 参数以满足您的需要。

冠状病毒分析

执行实际的代码分析。您可以传递大量开关,但我认为对于 Python 来说这些就足够了

cov 格式错误

在新的 results 文件夹中生成有用的 HTML 报告。支持其他输出格式,而不仅仅是 HTML。

cov-commit-defects

将扫描结果提交到指定流中的 Coverity Connect 中央服务器。为了使提交工作,您必须使用 Coverity key 文件(您从 Coverity 服务器 Web UI 下载此 key )来标识您自己,并且此文件需要对用户是只读的(即 chmod 400 mycoverity.key)

注意:以上所有内容都适用于我公司的内部 Coverity 服务器(即付费产品)。对于 Coverity 的免费开源版本,情况可能有所不同(尚未测试)。对于后一种情况,我会查看一些开源项目:https://github.com/search?q=--fs-capture-search&type=Code

关于python - coverity 工具可以扫描 python 代码库以查找 SCA 和安全问题吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/48820620/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com