极狐GitLab 能力太多,哪个更适合我的场景?
如何从 0 开始上手并用好极狐GitLab?
Code Review 流于形式,如何才能做扎实?
部署很焦虑,CI/CD 怎么做?
安全很重要,DevSecOps 怎么用?
收集和调研了众多开发者关注的问题后,今年 4 月,「极狐GitLab 100 问」栏目正式启动。第一个系列,我们着眼于大家尤为重视的软件安全开发实践, 精心策划 DevSecOps 七大能力实用课程。
七周修炼,现已圆满完结,感谢大家的陪伴!🎉
没学完?想回顾?要资料?
没问题!
7 期课程精华内容与回看视频 🎥
帮你一站式 Get 所有干货~
🌟阅读本文,你将学到:
依赖项扫描
阅读原文或复制下方链接,回看直播 ;在「看回放→聊天框」中,获取 PPT:
-
https://app.jingsocial.com/mF/aggregateListPage/activity/fAiSKretErkEpjiRyXyg9L/home?navId=C5vrQ2bxHmuHjBwDWwXRfX3&pushId=AcsDqfB2DnBNM7QdD7Zkc4
-
https://app.jingsocial.com/microFrontend/contentCenterH5/center/WNP8f7nLhrsKagFaBTiLKM?appid=wxa3af8f525446f3de&tabid=go8Dk3jVEi4jPuvrd3xi6a
知识点 1
现代软件系统基于微服务架构,大量使用 API 进行服务调用与集成。API 的安全性直接决定整体系统的安全性, API 模糊测试成为评估系统安全性的关键一环。
同时,很多企业都在使用敏捷开发,要求更短的更新周期和更高的发布频率。这增加了由于疏忽或考虑不周导致安全漏洞的概率。应用 API 模糊测试进行持续监测,能够确保快速迭代不会引入高危漏洞。
知识点 2
便利与安全如何兼得?容器镜像扫描等安全工具和机制成为解题关键。
极狐GitLab 容器镜像扫描具备 4 大优势:
-
一站式平台,无需额外工具;
-
简单易用,1 行配置高度自动化;
-
灵活控制,高效和安全齐备;
-
报告可视化,清晰详尽便于处理。
知识点 3
开源软件是软件企业持续依赖与运用的重要资源,开源许可证扫描必不可少,其广泛应用也将成为企业开源管理的标配与常态。
极狐GitLab 开源许可证扫描具有明显优势:
-
原生集成;
-
高度自动化;
-
简单易用;
-
灵活自定义;
-
持续优化。
知识点 4
极狐GitLab 既支持通过 Web Analyzer 方式,也 API Analyzer 方式在流水线中集成 DAST,在测试或运行阶段,分析应用程序的动态运行状态,高效保护应用程序安全。
DAST 的优点显而易见:
-
不受语言和框架限制;
-
低误报率;
-
无需访问源代码。
但 DAST 也有局限性:无法定位代码库中安全问题的确切位置;也无法嗅探应用程序堆栈中未执行部分中的漏洞。因此,需要与 SAST 互相弥补不足。
知识点 5
SAST 的分析结果能够精确到代码行数,而且通常是在代码编译之前进行,因此属于 SDLC 早期,修复问题的成本相对较低。
优秀的 SAST 工具应该具备以下特点:
-
更好的集成性和综合性;
-
更好的可视化和报告功能;
-
更好的扩展性和定制性。
极狐GitLab SAST 正是这样的工具:将 SAST 与 MR 无缝集成,在创建 MR 时,触发 CI/CD 进行 SAST 分析,最终的结果会展示在 MR 中,开发人员可通过创建 Issue 来对相应的 SAST 漏洞进行追踪管理;当修改后重新提交代码,再次触发 CI/CD Pipeline,在确认无误后,方可合入代码。
知识点 6
极狐GitLab 将密钥检测集成到 CI/CD 中,在开发人员提交代码时就同步进行检测,真正做到安全左移,持续监测。
只需在极狐GitLab CI 配置文件中增加一行代码,即可将密钥扫描模板导入流水线,轻松启动密钥扫描,发现并修复项目的密钥安全问题。
知识点 7
依赖项扫描可以在开发和测试应用程序时,自动查找软件依赖项中的安全漏洞,避免应用程序使用到已知易受攻击的外部(开源)库。
极狐GitLab 支持通过以下任一方式使用依赖项扫描:
-
在现有的 .gitlab-ci.yml 文件中,包含依赖扫描模板;
-
隐式使用 Auto DevOps 提供的自动依赖扫描。