公開ガイド

最初の検出結果を取り込む

最初のスキャンを実行し、結果を送信し、さらに統合を拡張する前にデータ品質を確認します。対象: セキュリティエンジニア、CIオーナー、統合エンジニア. 一般的な設定時間: 10-15 分.

開始前に

取り込み API を作成する/api-keys にキーを入力し、生のキーを保存します (一度表示)。
スキャナーイメージ secplatform/pipeline-scanner:latest (またはミラーリングされた public.ecr.aws エイリアス) を使用します。
SECPLATFORM_API_URL をバックエンドエンドポイントに設定します (ローカル: http://localhost:8000).

手順

ステップ 1

スキャナーイメージと最初のターゲットを選択します

結果を簡単に検証できるように、決定的なターゲットと既知のスキャナーイメージを使用します。

最初の実行には `secplatform/pipeline-scanner:latest` (またはミラーリングされたパブリック ECR エイリアス) を使用します。
`python:3.11-slim` などの既知のターゲットを選択します予測可能な最初の結果を得るには。
Rスキャナクライアントでサポートされている JSON モードで Trivy または Semgrep を実行します。
トラブルシューティング用にブランチ、コミット、またはアーティファクトのメタデータを保持します。

ステップ 2

取り込み API キーを作成して使用する

API キーにワークスペースキーを作成し、スキャナー取り込みにのみ使用します。

`/api-keys` を開いてキーを作成し、生の `sp_...` 値をすぐに保存します。
環境変数を介して `SECPLATFORM_API_URL` と `SECPLATFORM_API_KEY` を設定します。
R 一致するスキャナクライアントエントリポイントまたはコンテナを実行します。 command.
受け入れられたペイロードの証拠として応答ログをキャプチャします。

ステップ 3

品質と重複排除を検証する

検出結果が完全であり、重大度が正しくマッピングされており、繰り返しアップロードしても問題が重複しないことを確認します。

調査結果を開き、スキャナーとリソースでフィルターします。
`first_seen` フィールドと `last_seen` フィールドが入力されていることを確認します。
同じペイロードを 1 回再送信して検証します重複排除動作。

実行する

API 経由で取り込み API キーを作成する

bash

TOKEN=$(curl -s -X POST "http://localhost:8000/api/v1/auth/login?email=admin@acme.com&password=changeme123" | python3 -c "import sys, json; print(json.load(sys.stdin)['access_token'])")

curl -s -X POST http://localhost:8000/api/v1/api-keys \
  -H "Authorization: Bearer $TOKEN" \
  -H "Content-Type: application/json" \
  -d '{"label":"Pipeline Scanner","expires_in_days":90}'

R最初のパイプラインスキャンを実行し、結果を取り込みます

bash

docker run --rm \
  -v /var/run/docker.sock:/var/run/docker.sock \
  -e SECPLATFORM_API_URL=http://localhost:8000 \
  -e SECPLATFORM_API_KEY=sp_your_key_here \
  -e SCAN_TOOL=trivy \
  -e SCAN_TARGET=python:3.11-slim \
  secplatform/pipeline-scanner:latest

成功チェック

取り込みジョブのステータスが、作成済み > 0 または更新済み > 0 で完了に達します。
新しい検出結果は、重大度、ソーススキャナー、およびタイムスタンプとともに /findings に表示されます。

次のアクション

API キーを開くクライアントの導入ガイドを開く調査結果を開く