HorusecをRailsのCIにいれてみる
N04hSAST(Static Application Security Testing の略)ツールの一つにHorusecというものがあるらしい
多種多様な言語を横断して分析してくれる
freeeさんが導入しているみたい
N04hRailsについてはBrakemanをつかっているとのこと
上記のように元々それぞれの言語でよくつかわれるようなライブラリをつかって出力された結果をまとめるツール?っぽい
N04hインストール方法はここから
CircleCIでCIを回しているので、そのままコピペしてみる
実行されている horusec start はみたまんま、脆弱性の分析開始コマンド
N04h実際に動かしてみたらCircleCIにこう言われた
This job was rejected because the image is unavailable
imageもうつかえんってさ
ドキュメントの更新があまりされていないみたい
以下でとりあえず最新のUbuntuを探して設定してみる
N04hubuntu-2204:2022.10.2 で動いた
N04h動いて実際に色々結果もでたけど、テキストだけじゃ確かにわかりにくい...
ダッシュボードは構築めんどくさいのかな
N04hツール自体1年ほどメンテされてないのか
N04hつい最近構築し始めたプロダクトのコードで回したら早速最近あがってきたであろう脆弱性が指摘された
イメージは以下
ツールのメンテは怪しいが、脆弱性DBが優秀そう?
Gemの脆弱性についてはこれをつかっていた
N04hダッシュボードはDockerで構築できるよう用意されている
Install方法は上記リポジトリのREADMEか以下で確認できる
N04hうーんバージョンにプラットフォームもあって修正されていないバージョンって思われてる
CI通らないのも微妙だし、なんとかしたい
bundler-auditへPRしてそのバージョンをhorusecにPRってしないとかな?
とりあえずしたいことはできたのでクローズ