@@ -16,14 +16,14 @@ Semgrep är ett statisk analysverktyg som genomsöker din källkod för säkerhe
1616
1717- ** Semgrep officiell dokumentation:** https://semgrep.dev/docs/
1818- ** Semgreps regelbibliotek:** https://semgrep.dev/r
19- - ** Community vs Pro:** https://semgrep.dev/pricing
2019
2120### ✅ Din uppgift: Steg 1
2221
23221 . ** Lägg till Semgrep i din ` security.yml ` ** workflow fil
24- - Använd Semgrep GitHub Action för community-versionen
23+ - Använd Semgrep GitHub Action
2524 - Konfigurera den för att genomsöka katalogen ` todo-app `
2625 - Ställ in den för att använda community-regeluppsättningen (gratis, öppen källkod)
26+ - Pusha koden till ditt repos main branch
2727
28282 . ** Kör GitHub Actions-arbetsflödet**
2929 - Navigera till fliken ** Actions** i din GitHub-databas
@@ -67,15 +67,15 @@ Dependabot är GitHubs inbyggda beroendehanteringsverktyg som automatiskt genoms
6767
68681 . ** Aktivera Dependabot via GitHub**
6969 - Navigera till repot
70- - Gå till ** Settings** → ** Code security and analysis **
70+ - Gå till ** Settings** → ** Advanced Security **
7171 - Aktivera ** Dependabot alerts**
7272 - Aktivera ** Dependabot security updates** (valfritt, tillåter auto-PR-skapande)
7373
74742 . ** Kontrollera Dependabot-resultaten**
7575 - Navigera till fliken ** Security** → ** Dependabot alerts** → ** verifiera** att det står _ Dependency files checked x min ago_
7676 - Granska alla beroendesårbarheter som identifieras
7777 - Kontrollera allvarlighetsgrad och påverkade versioner av bibliotek
78- - Notera vilka beroenden i din ` pom.xml ` som har säkerhetsproblem
78+ - Notera vilka beroenden i din ` pom.xml ` som har säkerhetsproblem
7979
80803 . ** Exandera Dependabot**
8181 - Slå på PR skapande för ** säkerhetsuppdateringar** och ** vanliga uppdateringar**
@@ -95,11 +95,11 @@ Dependabot är GitHubs inbyggda beroendehanteringsverktyg som automatiskt genoms
9595- Uppdatera versionen i din ` pom.xml `
9696- Kör ` mvn clean verify ` lokalt för att säkerställa ingen brytande ändringar
9797- Arkivera uppdateringen och push för att utlösa Dependabot att genomsöka igen
98- - Verifiera att aviseringen är löst
98+ - Verifiera att problemet är löst
9999
100100---
101101
102- ## Steg 3: Containerbildöversökning med Trivy
102+ ## Steg 3: Infrastruktursskanning med Trivy
103103
104104### 📚 Verktygsöversikt: Trivy
105105
@@ -118,7 +118,6 @@ Trivy är en omfattande sårbarhetsöversöksverktyg utvecklat av Aqua Security
1181181 . ** Lägg till Trivy i ditt ` security.yml ` workflow**
119119 - Integrera Trivy i ditt GitHub Actions workflow
120120 - Konfigurera den för att genomsöka Docker-avbildningen du bygger från din ` Dockerfile `
121- - Ställ in den för att misslyckas på kritiska eller höga sårbarheter (konfigurerbar)
122121
1231222 . ** Kör GitHub Actions-arbetsflödet**
124123 - Pusha till main
@@ -127,7 +126,7 @@ Trivy är en omfattande sårbarhetsöversöksverktyg utvecklat av Aqua Security
127126
1281273 . ** Granska containeröversiktsresultat**
129128 - Navigera till fliken ** Security** → ** Code scanning alerts**
130- - Leta efter sårbarheter märkta som "Trivy" eller "container"
129+ - Leta efter sårbarheter märkta som "Trivy" (Det går att filtera med tool : Trivy )
131130 - Undersök sårbarheter i basavbildningen
132131
1331324 . ** Reflektionsfråga:**
@@ -216,6 +215,7 @@ Genom att slutföra alla fyra steg har du implementerat en säkerhetstoolningpip
216215Om du vill fördjupa din säkerhetskompetens:
217216
218217- Utforska ** SBOM (Software Bill of Materials)** -generering med verktyg som CycloneDX
218+ - TODO, föreslå fler roliga saker
219219
220220### 🔗 Användbara resurser
221221
0 commit comments