From 3ca67c889788d7b73f5bff538b38ebe025762a55 Mon Sep 17 00:00:00 2001 From: =?UTF-8?q?=D0=98=D0=BB=D1=8C=D1=8F=20=D0=9A=D0=B0=D1=80=D0=BF=D1=83?= =?UTF-8?q?=D1=85=D0=B8=D0=BD?= Date: Wed, 5 Jun 2024 10:52:21 +0300 Subject: [PATCH 1/7] init branch and add semgrep-scan.yaml --- .github/workflows/semgrep-scan.yaml | 0 1 file changed, 0 insertions(+), 0 deletions(-) create mode 100644 .github/workflows/semgrep-scan.yaml diff --git a/.github/workflows/semgrep-scan.yaml b/.github/workflows/semgrep-scan.yaml new file mode 100644 index 0000000..e69de29 From 6e68c03c73b69089bcf1d506cb286557f5e5c749 Mon Sep 17 00:00:00 2001 From: St-Ilya Date: Wed, 5 Jun 2024 13:01:18 +0300 Subject: [PATCH 2/7] add job semgrep --- .github/workflows/semgrep-scan.yaml | 34 +++++++++++++++++++++++++++++ 1 file changed, 34 insertions(+) diff --git a/.github/workflows/semgrep-scan.yaml b/.github/workflows/semgrep-scan.yaml index e69de29..cc896c9 100644 --- a/.github/workflows/semgrep-scan.yaml +++ b/.github/workflows/semgrep-scan.yaml @@ -0,0 +1,34 @@ +name: Run Semgrep +on: + push: + branches: + - '*' + +jobs: + semgrep: + runs-on: ubuntu-latest + container: + image: returntocorp/semgrep + + steps: + - name: Checkout code + uses: actions/checkout@v4 + + - name: Run Semgrep + run: | + semgrep \ + --sarif --output semgrep.sarif \ + --metrics=off \ + --config="p/default" + + - name: Save report + uses: actions/upload-artifact@v3 + with: + name: semgrep.sarif + path: semgrep.sarif + + - name: Scanning alerts + uses: github/codeql-action/upload-sarif@v3.25.7 + with: + sarif_file: semgrep.sarif + category: semgrep \ No newline at end of file From f21d568a6069a559ab12ac1232f5f4182f99707f Mon Sep 17 00:00:00 2001 From: St-Ilya Date: Wed, 5 Jun 2024 14:59:28 +0300 Subject: [PATCH 3/7] correction of the file format --- .github/workflows/{semgrep-scan.yaml => semgrep-scan.yml} | 0 1 file changed, 0 insertions(+), 0 deletions(-) rename .github/workflows/{semgrep-scan.yaml => semgrep-scan.yml} (100%) diff --git a/.github/workflows/semgrep-scan.yaml b/.github/workflows/semgrep-scan.yml similarity index 100% rename from .github/workflows/semgrep-scan.yaml rename to .github/workflows/semgrep-scan.yml From 5e516480a129ea6067269d234473561835471e43 Mon Sep 17 00:00:00 2001 From: St-Ilya Date: Thu, 6 Jun 2024 17:34:26 +0300 Subject: [PATCH 4/7] fix error with workflow is not reusable --- .github/workflows/semgrep-scan.yml | 4 +--- 1 file changed, 1 insertion(+), 3 deletions(-) diff --git a/.github/workflows/semgrep-scan.yml b/.github/workflows/semgrep-scan.yml index cc896c9..2195afb 100644 --- a/.github/workflows/semgrep-scan.yml +++ b/.github/workflows/semgrep-scan.yml @@ -1,8 +1,6 @@ name: Run Semgrep on: - push: - branches: - - '*' + workflow_call: jobs: semgrep: From 7e9689043d9ae254201fee487e548f01adc7e251 Mon Sep 17 00:00:00 2001 From: St-Ilya Date: Fri, 7 Jun 2024 12:45:33 +0300 Subject: [PATCH 5/7] added a description for the tool - semgrep --- README.md | 12 ++++++++++++ 1 file changed, 12 insertions(+) diff --git a/README.md b/README.md index 9bae42a..20b7afe 100644 --- a/README.md +++ b/README.md @@ -6,11 +6,17 @@ - Thrift - собираем thrift протокол и деплоим в maven central - Library - собираем библиотеку и деплоим в maven central - Swag - собираем openapi, деплоим в maven central и публикуем в github pages + + Инструменты для сканирование: + - Semgrep - сканирует по дефолтным правилам и выводит отчет в формате Sarif Чтобы начать использовать java-workflow в своем репозитории - добавьте в директорию `/.github/workflows/` файлы `build.yml` и `deploy.yml`, файлов описания workflow не обязательно должно быть два, вы можете самостоятельно описать workflow с использованием `java-workflow`. Ниже приведен пример для `service` типа проекта. Аналогично и для других типов, изменяется только название файла и передаваемые параметры. + Для сканирования проектов - инструмент Semgrep. + Чтобы начать использовать - добавьте в директорию файл `semgrep-scan.yml` + `build.yml` ```yaml name: Build Maven Artifact @@ -103,3 +109,9 @@ secrets: github-token: ${{ secrets.GITHUB_TOKEN }} mm-webhook-url: ${{ secrets.MATTERMOST_WEBHOOK_URL }} ``` + +### Semgrep scan +`semgrep-scan.yml` +```yaml +uses: valitydev/java-workflow/.github/workflows/semgrep-scan.yml@sec-24 +``` \ No newline at end of file From fbfaa0452354d06a4d1b7bb20c0664de5d5f4d08 Mon Sep 17 00:00:00 2001 From: St-Ilya Date: Tue, 11 Jun 2024 18:01:24 +0300 Subject: [PATCH 6/7] update README --- README.md | 6 +++--- 1 file changed, 3 insertions(+), 3 deletions(-) diff --git a/README.md b/README.md index 20b7afe..dfb8942 100644 --- a/README.md +++ b/README.md @@ -9,14 +9,14 @@ Инструменты для сканирование: - Semgrep - сканирует по дефолтным правилам и выводит отчет в формате Sarif + +Для сканирования проектов - инструмент Semgrep. +Чтобы начать использовать - добавьте в директорию файл `semgrep-scan.yml` Чтобы начать использовать java-workflow в своем репозитории - добавьте в директорию `/.github/workflows/` файлы `build.yml` и `deploy.yml`, файлов описания workflow не обязательно должно быть два, вы можете самостоятельно описать workflow с использованием `java-workflow`. Ниже приведен пример для `service` типа проекта. Аналогично и для других типов, изменяется только название файла и передаваемые параметры. - Для сканирования проектов - инструмент Semgrep. - Чтобы начать использовать - добавьте в директорию файл `semgrep-scan.yml` - `build.yml` ```yaml name: Build Maven Artifact From af60ce22c5fd095bfc5a121326713d31aa1f5c5d Mon Sep 17 00:00:00 2001 From: St-Ilya Date: Tue, 11 Jun 2024 18:01:47 +0300 Subject: [PATCH 7/7] update README --- README.md | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/README.md b/README.md index dfb8942..a6108ea 100644 --- a/README.md +++ b/README.md @@ -7,7 +7,7 @@ - Library - собираем библиотеку и деплоим в maven central - Swag - собираем openapi, деплоим в maven central и публикуем в github pages - Инструменты для сканирование: + Инструменты для сканирования: - Semgrep - сканирует по дефолтным правилам и выводит отчет в формате Sarif Для сканирования проектов - инструмент Semgrep.