1.登录DASP平台,点击导航栏 全局设置—>插件中心,下载SAST-Intellij IDEA插件。
2.无需解压。
目前IDEA插件支持最低版本为2020.2.1,测试最高版本为2022.3.2。已验证Windows和Linux操作系统中的插件功能,建议在上述两个操作系统中使用规定范围版本的IDEA进行静态代码扫描。
注意:以下在Windows操作系统中使用IntelliJ IDEA 2020.2.1 (Community Edition)进行代码扫描。
打开IDEA,点击 File—>settings...—>Plugins,选择Install Plugin from Disk...
选择并打开步骤1下载的插件,点击右下角的Apply,Settings弹窗左侧会增加一个sangfor_dasp_sast标签(有些版本的IDEA会出现在Tools标签中),这表明已经完成DASP-Intellij IDEA插件的安装。
点击 File—>settings...—>Plugins,选择sangfor_dasp_sast标签,在右侧填写应用名、用户Token、服务器地址、ApiKey。以上4个字段中,应用名不能包含`~!#$%^&*+\\|{};:\\\"',/<>?等特殊字符,且长度不能超过32位(与项目名相同),Token和ApiKey均为从DASP平台获取到的SecretID,服务器地址为DASP平台的地址。
点击连通测试,若出现连接成功的弹窗,则说明可以通过IDEA发起静态代码扫描。
选中项目目录,右击,在下拉框中点击sangfor_dasp_sast扫描
点击扫描后出现语言弹窗,选择项目使用的语言(可以不选择,由后台自动识别),点击确定,即可开始扫描。
扫描完成后,IDEA底部会展示本次扫描的结果
可以前往DASP平台查看更加详细的资产漏洞信息,并且可以下载Word或Excel格式的扫描报告。
发起扫描时,若中途想终止,可选中项目目录,右击,在下拉框中点击sangfor_dasp_sast停止扫描。
问题1:为什么插件有结果后DASP平台上还是扫描中。
目前平台会对插件扫描后的原始数据再做一些处理再进行落表,会比插件出结果慢一些。
建议使用Chrome浏览器访问!