Veracode的静态扫描要怎么去配,扫描规则的那些误报,又该怎么去料理,很多团队是在把这一套安全检查接进流水线了以后,才真真切切地碰到这些事的。Veracode的静态扫描,可不是把源码随便一丢就完事了,往前头看,得去预备好那个要扫的构建包、应用的信息、扫描的策略,还有分支的环境;往后头看,也还得去打理那些扫出来的结果,特别是那种,一眼瞧上去像个问题,可细一琢磨,跟实际的业务场景又对不上号的告警。Upload and Scan能用来把文件传上去,再去跑静态分析,策略扫描和sandbox扫描,也常常被搁在不同的阶段里用。