.github/workflows/main.yml

   1 name: functional test
   2
   3 on:
   4   push:
   5     branches: [ master ]
   6   pull_request:
   7     branches: [ master ]
   8
   9 jobs:
  10   check_all_configs:
  11
  12     runs-on: ubuntu-latest
  13
  14     strategy:
  15       max-parallel: 4
  16       fail-fast: false
  17       matrix:
  18         # Current ubuntu-latest (Ubuntu 22.04) provides the following versions of Python:
  19         python-version: ['3.7', '3.8', '3.9', '3.10', '3.11']
  20
  21     steps:
  22
  23     - name: Set up Python ${{ matrix.python-version }}
  24       uses: actions/setup-python@v1
  25       with:
  26         python-version: ${{ matrix.python-version }}
  27
  28     - name: Install package
  29       run: |
  30         python -m pip install --upgrade pip
  31         pip install coverage
  32         pip --verbose install git+https://github.com/a13xp0p0v/kconfig-hardened-check
  33         echo ">>>>> first start <<<<<"
  34         kconfig-hardened-check
  35
  36     - name: Check all configs with the installed tool
  37       run: |
  38         echo ">>>>> check all configs <<<<<"
  39         CONFIG_DIR=`find /opt/hostedtoolcache/Python/ -name config_files`
  40         CONFIGS=`find $CONFIG_DIR -type f | grep "\.config"`
  41         COUNT=0
  42         for C in $CONFIGS
  43         do
  44                 COUNT=$(expr $COUNT + 1)
  45                 echo -e "\n>>>>> checking config number $COUNT <<<<<"
  46                 kconfig-hardened-check -c $C
  47         done
  48         echo -e "\n>>>>> checking $COUNT configs is done <<<<<"
  49
  50     - name: Get source code for collecting coverage
  51       uses: actions/checkout@v2
  52
  53     - name: Collect coverage for the basic functionality
  54       run: |
  55         echo ">>>>> get help <<<<<"
  56         coverage run -a --branch bin/kconfig-hardened-check
  57         coverage run -a --branch bin/kconfig-hardened-check -h
  58
  59         echo ">>>>> get version <<<<<"
  60         coverage run -a --branch bin/kconfig-hardened-check --version
  61
  62         echo ">>>>> print the security hardening preferences <<<<<"
  63         coverage run -a --branch bin/kconfig-hardened-check -p X86_64
  64         coverage run -a --branch bin/kconfig-hardened-check -p X86_64 -m verbose
  65         coverage run -a --branch bin/kconfig-hardened-check -p X86_64 -m json
  66
  67         coverage run -a --branch bin/kconfig-hardened-check -p X86_32
  68         coverage run -a --branch bin/kconfig-hardened-check -p X86_32 -m verbose
  69         coverage run -a --branch bin/kconfig-hardened-check -p X86_32 -m json
  70
  71         coverage run -a --branch bin/kconfig-hardened-check -p ARM64
  72         coverage run -a --branch bin/kconfig-hardened-check -p ARM64 -m verbose
  73         coverage run -a --branch bin/kconfig-hardened-check -p ARM64 -m json
  74
  75         coverage run -a --branch bin/kconfig-hardened-check -p ARM
  76         coverage run -a --branch bin/kconfig-hardened-check -p ARM -m verbose
  77         coverage run -a --branch bin/kconfig-hardened-check -p ARM -m json
  78
  79         echo ">>>>> use local cmdline as an example <<<<<"
  80         cat /proc/cmdline
  81
  82         echo ">>>>> check the example kconfig files and cmdline <<<<<"
  83         CONFIG_DIR=`find . -name config_files`
  84         CONFIGS=`find $CONFIG_DIR -type f | grep "\.config"`
  85         COUNT=0
  86         for C in $CONFIGS
  87         do
  88                 COUNT=$(expr $COUNT + 1)
  89                 echo -e "\n>>>>> checking config number $COUNT <<<<<"
  90                 coverage run -a --branch bin/kconfig-hardened-check -c $C
  91                 coverage run -a --branch bin/kconfig-hardened-check -c $C -l /proc/cmdline
  92                 coverage run -a --branch bin/kconfig-hardened-check -c $C -l /proc/cmdline -m verbose > /dev/null
  93                 coverage run -a --branch bin/kconfig-hardened-check -c $C -l /proc/cmdline -m json
  94                 coverage run -a --branch bin/kconfig-hardened-check -c $C -l /proc/cmdline -m show_ok
  95                 coverage run -a --branch bin/kconfig-hardened-check -c $C -l /proc/cmdline -m show_fail
  96         done
  97         echo -e "\n>>>>> checking $COUNT configs is done <<<<<"
  98
  99     - name: Collect coverage for error handling
 100       run: |
 101         echo ">>>>> lonely -l <<<<<"
 102         ! coverage run -a --branch bin/kconfig-hardened-check -l /proc/cmdline
 103
 104         echo ">>>>> wrong modes for -p <<<<<"
 105         ! coverage run -a --branch bin/kconfig-hardened-check -p X86_64 -m show_ok
 106         ! coverage run -a --branch bin/kconfig-hardened-check -p X86_64 -m show_fail
 107
 108         echo ">>>>> -p and -c together <<<<<"
 109         ! coverage run -a --branch bin/kconfig-hardened-check -p X86_64 -c kconfig_hardened_check/config_files/distros/fedora_34.config
 110
 111         cp kconfig_hardened_check/config_files/distros/fedora_34.config ./test.config
 112
 113         echo ">>>>> no kernel version <<<<<"
 114         sed '3d' test.config > error.config
 115         ! coverage run -a --branch bin/kconfig-hardened-check -c error.config
 116
 117         echo ">>>>> strange kernel version string <<<<<"
 118         sed '3 s/5./version 5./' test.config > error.config
 119         ! coverage run -a --branch bin/kconfig-hardened-check -c error.config
 120
 121         echo ">>>>> no arch <<<<<"
 122         sed '305d' test.config > error.config
 123         ! coverage run -a --branch bin/kconfig-hardened-check -c error.config
 124
 125         echo ">>>>> more than one arch <<<<<"
 126         cp test.config error.config
 127         echo 'CONFIG_ARM64=y' >> error.config
 128         ! coverage run -a --branch bin/kconfig-hardened-check -c error.config
 129
 130         echo ">>>>> invalid disabled kconfig option <<<<<"
 131         sed '28 s/is not set/is not set yet/' test.config > error.config
 132         ! coverage run -a --branch bin/kconfig-hardened-check -c error.config
 133
 134         echo ">>>>> one config option multiple times <<<<<"
 135         cp test.config error.config
 136         echo 'CONFIG_BUG=y' >> error.config
 137         ! coverage run -a --branch bin/kconfig-hardened-check -c error.config
 138
 139         echo ">>>>> multi-line cmdline file <<<<<"
 140         echo 'hey man 1' > cmdline
 141         echo 'hey man 2' >> cmdline
 142         ! coverage run -a --branch bin/kconfig-hardened-check -c test.config -l cmdline
 143
 144     - name: Prepare final coverage report
 145       run: |
 146         coverage xml -i -o coverage.xml
 147
 148     - name: Handle coverage
 149       uses: codecov/codecov-action@v2
 150       with:
 151         file: ./coverage.xml
 152         flags: functional_test
 153         name: codecov-umbrella
 154         fail_ci_if_error: true
 155         verbose: true
 156