Code coverage Veracode作为git的预提交挂钩

如何将VeracodeScanner集成为git工作存储库的预提交钩子？如何检查扫描仪是否正在运行？

您可以创建一个关于Veracode静态扫描分析的GitHub操作。为此，您可以按照以下步骤进行操作：

在GitHub项目的安全选项卡中（您需要拥有GitHub项目的管理员权限），单击“代码”的“启用设置” 扫描警报”

这将带您进入项目的设置，您需要为“代码扫描”启用“GitHub高级安全性”

然后单击将启用的“转到代码扫描”按钮

在使用多个代码扫描工具显示的列表上向下滚动，选择“Veracode静态分析”（通常显示在页面底部）

单击“设置此工作流”，会在.github/workflows路径的主分支中自动创建一个子目录。工作流在.yml文件中配置，该文件包含管道的步骤

先决条件：您需要将VeracodeAPI密钥设置为项目机密（查看此处和此处） 。将您的API密钥命名为VERACODE_API_ID和VERACODE_API_密钥（因为这些是在.yml文件中设置的名称，或者在这两个位置相应地更改它们）

在自动创建的.yml文件中，有一个管道，它根据在其显示的行上设置的规则运行

您可以查看此链接以了解更多信息 可以更改分支名称，也可以使用正则表达式，有关详细信息，请参阅

您还可以将操作配置为按计划运行。 将鼠标悬停在“cron”上以查看显示的人工读取格式。这样，操作将根据cron运行。计划的工作流将在默认分支或基本分支上的最新提交上运行。 查找有关如何在GitHub操作上配置计划事件的更多信息

在项目的“操作”选项卡中，您现在可以看到管道运行的日志以及每次运行的状态

在按照上述步骤（步骤1-8）设置GitHub操作，并且该操作在GitHub项目的安全选项卡中运行良好（检查其状态，如步骤9所述）之后，您应该能够看到“代码扫描警报”处于“活动”状态，单击“查看警报”，这会将您带到代码缺陷列表（如果有）