vscode <> checkmarx 소스코드 스캔

https://github.com/hi8544/test2

요 레포로 테스트 할거임

 

프로젝트 등록할 때 깃허브 로긴하면

레포 지정할 수 있음

스캔 트리거를 지정하면

Push, Pull request 이벤트 발생할때마다 스캔 하나봄

(Push 는 소스 올리는거, Pull request 는 소스 올렸다고 다른 사용자에게 알리는거)

그래서 깃허브 Webhooks 에 체크막스가 추가됨

xss_login.php 에

SQL Injection 으로 잡혔는데

제대로 고친건 아닌데

걍 대충 이렇게 고치고 푸시하면

스캔 자동으로 다시 돌아가고

SQL Injection 취약점 없어짐

VSCode 랑 체크막스 연동하면 (API 키 있어야 됨)

요렇게 VSCode 에서 스캔 결과 바로 확인 가능함

AI Security Champion 기능 사용하면 (지피티 Key 로 연동해야됨)

소스 어떻게 고쳐야 하는지도 알려줌

근데 걍 지피티한테 물어보는거랑 무슨 차이지?

이거 보고 수정해서 업뎃하면 또 스캔하고.. 그런 로직인가봄