我正在对启用 OAuth 的应用程序进行 CASA Tier 2 安全自我评估,我们已请求 Google 批准该应用程序。我正在使用 Fluid Attacks 独立扫描工具 (gitlab:fluidattacks/universe@trunk) 在包含大约 16,000 个 npm 包的 node.js 应用程序上运行 SAST 扫描。
扫描已在 AWS t2.medium ec2 实例上运行近一周,但仍未完成。日志输出显示它相当快地分析了包,然后开始文件扫描。它会定期报告文件太大而无法扫描,因此会被跳过。所以我认为它还没有挂起,尽管我认为自从我看到其中一条消息以来已经有一两天了。它正在 Docker 容器中运行,但我还没有看到任何结果文件。我比第一次扫描晚了一天在一个单独的 ec2 实例上开始了另一次扫描,只有 7,000 个 npm 依赖项,它显示了相同类型的日志输出,但尚未完成。
谁能验证这是否在正常预期范围内?文件说扫描可能需要一段时间,但我没想到要一周。我很想知道在我决定它不起作用之前我应该让它运行。