SCANOSS Webhook

SCANOSS webhook — это мультиплатформенный вебхук, который выполняет сканирование исходного кода через API SCANOSS. Поддерживает интеграцию с API GitHub, GitLab и BitBucket.

SCANOSS предоставляет сканер исходного кода, который можно использовать для обнаружения зависимостей Open Source в вашем коде.

Цель этого кода — предложить эталонную реализацию, которую можно расширить в соответствии с потребностями отдельных лиц и организаций.

Установка

После сборки колеса Python (ознакомьтесь с инструкциями по сборке) вы можете установить SCANOSS webhook с помощью pip: pip install -U dist/*.whl

Конфигурация

Конфигурация SCANOSS webhook зависит от конкретного поставщика. SCANOSS webhook должен быть настроен на получение запросов на вытягивание и разрешение публикации комментариев к коммитам и установки статуса сборки.

Чтобы протестировать вебхук после настройки, вы можете выполнить коммит. Если все разрешения верны и всё проходит гладко, вы должны увидеть, что вебхук создал комментарий в вашем коммите, содержащий сводку результатов сканирования.

Github

Создание персонального токена доступа

Перейдите в Настройки > Настройки разработчика. Выберите Персональные токены, нажмите кнопку Создать новый токен.

Выберите следующие области:

• repo:status
• repo_deployment
• public_repo

Нажмите Создать токен и сохраните сгенерированный токен.

Настройка вебхука

Чтобы настроить SCANOSS Webhook в репозитории, перейдите в Настройки репозитория > Вебхуки. Нажмите Добавить вебхук.

Заполните форму добавления вебхука:

• Добавьте URL вебхука в качестве URL полезной нагрузки;
• Выберите тип содержимого application/json;
• Добавьте секрет;
• Вебхук должен получать только события push;
• Убедитесь, что установлен флажок Активно.

Пример конфигурации

github:
  api-base: https://api.github.com # Или ваш локальный API GitHub Enterprise
  api-user: your-api-user
  api-key: your-personal-access-token
  secret-token: your-secret-token
scanoss:
  url: https://api-url-for-scanoss.example.com
  token: my-scanoss-token

Bitbucket

Создайте пароль приложения

В настройках пользователя вебхука вы можете создать пароль приложения с разрешениями на запись в репозиторий.

Настройте вебхук

1. Откройте репозиторий, в котором вы хотите добавить вебхук.
2. Нажмите ссылку Настройки на левой панели.
3. Из ссылок на странице настроек нажмите ссылку Вебхуки.
4. Нажмите кнопку Добавить вебхук, чтобы создать вебхук для репозитория. Появится страница «Добавить новый вебхук». Заполните имя и URL и убедитесь, что вебхук может получать запросы на вытягивание.

Вы можете ознакомиться с расширенными инструкциями в документации Bitbucket webhooks.

Пример конфигурации

bitbucket:
  api-base: https://bitbucket.org/ # Это также может быть ваш локальный битбакет deployment URL.
  api-key: your-bb-app-password
  api-user: your-bb-user-name
scanoss:
  url: https://api-url-for-scanoss.example.com
  token: my-scanoss-token

GitLab

Генерация токена доступа

На GitLab в настройках пользователя вебхука выберите Токен доступа. Введите имя и срок действия и выберите область api. Затем Создайте персональный токен доступа. Запишите сгенерированный токен.

Настройка вебхука

На GitLab перейдите в репозиторий, где вы хотите установить вебхук. Затем выберите Настройки, затем Вебхук. Заполните форму с URL вебхука, добавьте секретный токен и установите флажок События push.

Пример конфигурации

gitlab:
  api-base: https://gitlab.com/api/v4 # Это также может быть ваша локальная конечная точка API GitLab
  api-key: your-gitlab-access-token
  secret-token: your-secret-token
scanoss:
  url: https://api-url-for-scanoss.example.com
  token: my-scanoss-token
``` Требуется. Он использует setuptools для создания колеса PIP.

- Установите зависимости: `make init && make init-dev`.

- Создайте новое колесо: `make dist`. Двоичные файлы будут расположены в папке `dist`.