結論
https://github.com/MobSF/mobsfscan を入れる
やり方
公式READMEそのままにファイル追加です。
何が起こるの?
PR時
このようにalertがあるよって教えてくれます。
詳細を見るとこんな感じです。
もっと詳細を見てみます。
※検証のために書いたpasswordがチェックされました。
アプリ全体のチェック
このymlをmasterにマージするとこれまでのアプリ全体もチェックしてくれます。
赤枠で囲ったところを遷移していくと・・・
このザマでした・・・
感想
導入は(GithubActionsを使っていれば)一瞬で出来るので、めっちゃ良い!!となりました。
が、チェック内容についてはしっかり設定をして何をやるか/やらないかを判断していく必要があると思いました。
公式にignore-rulesの設定方法なども書かれているので、プロジェクト毎に適切なルールを設定しないと無駄にコストがかかってしまう気がします。
Discussion