特别放送|7 节 DevSecOps 课程合集,你要的全拿走

admin 提交于 周三, 06/28/2023 - 16:27

极狐GitLab 能力太多,哪个更适合我的场景?

如何从 0 开始上手并用好极狐GitLab?

Code Review 流于形式,如何才能做扎实?

部署很焦虑,CI/CD 怎么做?

安全很重要,DevSecOps 怎么用?

 

收集和调研了众多开发者关注的问题后,今年 4 月,「极狐GitLab 100 问」栏目正式启动。第一个系列,我们着眼于大家尤为重视的软件安全开发实践, 精心策划 DevSecOps 七大能力实用课程

 

七周修炼,现已圆满完结,感谢大家的陪伴!🎉

 

7 节 DevSecOps 课程合集

 

 

没学完?想回顾?要资料?

没问题!

7 期课程精华内容与回看视频 🎥

帮你一站式 Get 所有干货~

 

🌟阅读本文,你将学到:

 

API 模糊测试

容器镜像扫描

许可证扫描

依赖项扫描

DAST动态应用程序安全测试

SAST静态应用程序安全测试

密钥检测

 

阅读原文或复制下方链接,回看直播 ;在「看回放→聊天框」中,获取 PPT:

 

  • https://app.jingsocial.com/mF/aggregateListPage/activity/fAiSKretErkEpjiRyXyg9L/home?navId=C5vrQ2bxHmuHjBwDWwXRfX3&pushId=AcsDqfB2DnBNM7QdD7Zkc4

  • https://app.jingsocial.com/microFrontend/contentCenterH5/center/WNP8f7nLhrsKagFaBTiLKM?appid=wxa3af8f525446f3de&tabid=go8Dk3jVEi4jPuvrd3xi6a

 

知识点 1

 

7 节 DevSecOps 课程合集

 

现代软件系统基于微服务架构,大量使用 API 进行服务调用与集成。API 的安全性直接决定整体系统的安全性, API 模糊测试成为评估系统安全性的关键一环。

 

同时,很多企业都在使用敏捷开发,要求更短的更新周期和更高的发布频率。这增加了由于疏忽或考虑不周导致安全漏洞的概率。应用 API 模糊测试进行持续监测,能够确保快速迭代不会引入高危漏洞

 

知识点 2

 

7 节 DevSecOps 课程合集

 

便利与安全如何兼得?容器镜像扫描等安全工具和机制成为解题关键。

 

极狐GitLab 容器镜像扫描具备 4 大优势:

 

  1. 一站式平台,无需额外工具;

  2. 简单易用,1 行配置高度自动化;

  3. 灵活控制,高效和安全齐备;

  4. 报告可视化,清晰详尽便于处理。

 

知识点 3

 

7 节 DevSecOps 课程合集

 

开源软件是软件企业持续依赖与运用的重要资源,开源许可证扫描必不可少,其广泛应用也将成为企业开源管理的标配与常态。

 

极狐GitLab 开源许可证扫描具有明显优势:

 

  • 原生集成;

  • 高度自动化;

  • 简单易用;

  • 灵活自定义;

  • 持续优化。

 

知识点 4

 

7 节 DevSecOps 课程合集

 

极狐GitLab 既支持通过 Web Analyzer 方式,也 API Analyzer 方式在流水线中集成 DAST,在测试或运行阶段,分析应用程序的动态运行状态,高效保护应用程序安全。

 

DAST 的优点显而易见:

 

  1. 不受语言和框架限制;

  2. 低误报率;

  3. 无需访问源代码。

 

但 DAST 也有局限性:无法定位代码库中安全问题的确切位置;也无法嗅探应用程序堆栈中未执行部分中的漏洞。因此,需要与 SAST 互相弥补不足。

 

知识点 5

 

7 节 DevSecOps 课程合集

 

SAST 的分析结果能够精确到代码行数,而且通常是在代码编译之前进行,因此属于 SDLC 早期,修复问题的成本相对较低。

 

优秀的 SAST 工具应该具备以下特点:

 

  • 更好的集成性和综合性;

  • 更好的可视化和报告功能;

  • 更好的扩展性和定制性。

 

极狐GitLab SAST 正是这样的工具:将 SAST 与 MR 无缝集成,在创建 MR 时,触发 CI/CD 进行 SAST 分析,最终的结果会展示在 MR 中,开发人员可通过创建 Issue 来对相应的 SAST 漏洞进行追踪管理;当修改后重新提交代码,再次触发 CI/CD Pipeline,在确认无误后,方可合入代码。

 

知识点 6

 

7 节 DevSecOps 课程合集

 

极狐GitLab 将密钥检测集成到 CI/CD 中,在开发人员提交代码时就同步进行检测,真正做到安全左移,持续监测

 

只需在极狐GitLab CI  配置文件中增加一行代码,即可将密钥扫描模板导入流水线,轻松启动密钥扫描,发现并修复项目的密钥安全问题。

 

知识点 7

 

7 节 DevSecOps 课程合集

 

 

依赖项扫描可以在开发和测试应用程序时,自动查找软件依赖项中的安全漏洞,避免应用程序使用到已知易受攻击的外部(开源)库。

 

极狐GitLab 支持通过以下任一方式使用依赖项扫描:

 

  • 在现有的 .gitlab-ci.yml 文件中,包含依赖扫描模板;

  • 隐式使用 Auto DevOps 提供的自动依赖扫描。

访问量
102432
封面图片
7 节 DevSecOps 课程合集