SAST GitHub Action - SCA & Secret Scanning (Insomnia)

免费的 SAST + SCA + secret 扫描 - 在每次 push 时捕获代码漏洞和硬编码的 secret —— 只需一行 YAML。
扫描结果会直接显示在 GitHub Security 标签页中。无需账号，无需上传，也无需安装任何东西。

Pipeline 构建器 · IDE 插件 · 观看视频

## 快速开始 添加 `.github/workflows/sast.yml`： ``` name: SAST on: push: branches: [main] pull_request: permissions: contents: read security-events: write # lets findings show in the Security tab jobs: sast: runs-on: ubuntu-latest steps: - uses: actions/checkout@v4 - uses: vulnz/vulnerability@v1 with: fail-on: high ``` 该 action 会通过 `pip install sast` 安装引擎，扫描 repo，在发现高危问题时中断构建， 将 SARIF 上传至 Security 标签页，并将 HTML/JSON 报告作为 artifact 保存。 ## 覆盖范围 一步操作替代五个工具 —— 全部在你的 runner 上运行，数据不会离开 CI： - **SAST** — 跨 **16 种语言**的跨文件污点分析（source → sink） - **Secrets** — 约 230 条规则，带有**实时验证**功能，可证明 key 是否仍然有效 - **SCA** — 依赖项 CVE (OSV) + 依赖混淆 - **容器 & IaC** — OS-package CVE，Terraform / Kubernetes / Docker / CloudFormation 配置错误 - **更多** — CMS 漏洞公告 (WordPress/Joomla/Drupal/Magento)，易受攻击的 JS 库，web-shell / 恶意软件 - **输出** — SARIF 2.1.0，JSON 和 HTML ## 横向对比 | | Insomnia SAST | CodeQL | Semgrep | Snyk | Trivy | |---|:---:|:---:|:---:|:---:|:---:| | 私有 repo 免费 | ✅ | ⚠️ | ✅ | ⚠️ | ✅ | | 完全在你的 runner 上运行 | ✅ | ✅ | ✅ | ❌ | ✅ | | 跨文件污点分析 | ✅ | ✅ | ⚠️ | ✅ | ❌ | | Secret 检测 | ✅ | ❌ | ⚠️ | ✅ | ✅ | | Secret 实时验证 | ✅ | ❌ | ❌ | ❌ | ❌ | | 依赖项 / 容器 CVE | ✅ | ❌ | ❌ | ✅ | ✅ | | IaC 配置错误 | ✅ | ❌ | ✅ | ✅ | ✅ | | CMS / web-shell / 恶意软件 | ✅ | ❌ | ❌ | ❌ | ❌ | _{✅ 内置 · ⚠️ 部分或条件支持 · ❌ 不可用。名称均归其所有者所有的商标。} ## 输入项 | 输入项 | 默认值 | 描述 | |---|---|---| | `path` | `.` | 要扫描的目录。 | | `fail-on` | _(空)_ | 达到或超过此严重级别时使 job 失败：`critical`/`high`/`medium`/`low`/`info`。留空 = 仅报告。 | | `format` | `sarif,json,html` | 报告格式（始终包含 `sarif`）。 | | `output` | `sast-report` | 报告输出目录。 | | `upload-sarif` | `true` | 将 SARIF 上传至 GitHub code scanning（需要 `security-events: write` 权限）。 | | `secrets-only` | `false` | 仅扫描 secrets / 凭据（速度快）。 | | `no-sca` | `false` | 跳过依赖项 CVE (SCA) 扫描。 | | `changed-only` | `false` | 仅扫描对比 git HEAD 发生更改的文件。 | | `version` | `latest` | 要下载的引擎版本。 | | `args` | _(空)_ | 提供给 `sast` CLI 的额外原始 flags。 | | `artifact-name` | `insomnia-sast-report` | 上传的报告 artifact 的名称（为每个 matrix job 提供唯一的值）。 | **输出：** `sarif-file`（SARIF 报告的路径） · `exit-code`（`0` 正常 / `2` 拦截 / `1` 错误）。 ## 示例 ``` # PR 门禁 — 仅限已更改的文件，高危时失败 - uses: actions/checkout@v4 with: { fetch-depth: 0 } - uses: vulnz/vulnerability@v1 with: { changed-only: true, fail-on: high } ``` ``` # 仅 Fast secrets 检查 - uses: vulnz/vulnerability@v1 with: { secrets-only: true, fail-on: medium } ``` ## 同一引擎，处处通用 | 位置 | 方式 | |---|---| | CI / CD | `uses: vulnz/vulnerability@v1` | | 终端 | `pip install sast` · `brew install vulnz/sast/sast` · `apt-get install sast` | | 编辑器 | [VS Code · JetBrains · Visual Studio](https://insom.ai/en/plugin) | 运行在 `ubuntu-*`、`macos-*` 和 `windows-*` runner 上 —— 引擎通过 `pip install sast` 安装。

insom.ai/en/sdlc · insom.ai/en/plugin
_{免费 · 采用与 Insomnia CLI 及 IDE 插件相同的引擎 · © CQR Cybersecurity LLC}

标签：DevSecOps, GitHub Action, SAST, 上游代理, 盲注攻击, 逆向工具, 静态代码扫描