安全合作伙伴集成 - 入职流程 - GitLab

如果您想将您的产品与安全阶段集成，本页面描述了 GitLab 期望用户遵循的与安全结果相关的开发者工作流。这些应作为指导方针，以便您可以构建一个与 GitLab 用户已经熟悉的工作流相契合的集成。

本页面还为作为合作伙伴入职相关的技术工作提供了资源。以下步骤是完成集成所需工作的高级视图，并链接到更详细的资源，说明如何执行这些步骤。

集成层级#

GitLab 中的安全产品专为极狐GitLab 旗舰版用户和 DevSecOps 用例而设计。所有功能都在这些层级中。这包括提供一致体验所需的 API 和标准报告框架，让用户将他们首选的安全工具带入 GitLab。我们要求我们的集成合作伙伴将工作重点放在这些许可证层级上，以便为我们的共同客户提供最大价值。

什么是极狐GitLab 开发者工作流？#

此工作流是 GitLab 用户与我们的产品交互并期望其运行的方式。了解用户当前如何使用 GitLab 有助于您选择将您自己的产品及其结果集成到 GitLab 中的最佳位置。

开发者希望编写代码，而无需使用新工具来查看结果或处理有关他们正在处理的项目的反馈。留在单一工具 GitLab 中有助于他们专注于完成代码和项目。
开发者将代码提交到 Git 分支。开发者在 GitLab 中创建一个合并请求，以便对这些更改进行审查。合并请求会触发一个 GitLab 流水线，在代码上运行关联的作业，包括安全检查。
流水线作业服务于多种目的。作业可以扫描应用程序安全、公司政策或合规性，并产生影响。完成后，作业会报告其状态，并创建一个作业产物作为结果。
合并请求安全小部件显示流水线安全检查的结果，开发者可以查看这些结果。开发者可以查看结果的摘要和详细版本。
如果项目存在某些策略（例如合并请求批准），开发者必须解决特定的发现项，或从特定人员列表中获得批准。
安全仪表板也显示结果，开发者可以使用这些结果快速查看代码中需要解决的所有漏洞。
当开发者阅读有关漏洞的详细信息时，他们会看到额外的信息和后续步骤的选择：
1. 创建议题（确认发现项）：创建一个新的议题以进行优先级排序。
2. 添加评论并忽略漏洞：在忽略发现项时，用户可以评论以注明他们已经缓解的项目、他们接受该漏洞，或者该漏洞是误报。
3. 自动修复 / 创建合并请求：可以提供漏洞的修复方案，允许一个简单的解决方案，无需用户付出额外努力。应尽可能提供此功能。
4. 链接：漏洞可以链接到外部站点或来源，以便用户获取有关该漏洞的更多数据。

如何入职#

本节描述您需要完成的步骤，以作为合作伙伴入职并完成与安全阶段的集成。

阅读我们的合作伙伴关系。
创建一个议题，使用我们的新合作伙伴议题模板开始讨论。
获取一个测试账户以开始开发您的集成。您可以请求一个 JihuLab.com 订阅沙盒或一个 EE 开发者许可证。
提供一个流水线作业模板，用户可以将其集成到他们自己的 GitLab 流水线中。
使用您的流水线作业创建一个报告产物。
确保您的流水线作业创建一个 GitLab 可以处理的报告产物，以成功地将您自己产品的结果与 GitLab 的其余部分一起显示。
- 有关此步骤的详细技术指导。
- 阅读更多关于作业报告产物的信息。
- 阅读关于作业产物的信息。
- 您的报告产物必须采用我们支持的格式之一。有关更多信息，请参阅报告文档。
  - SAST 输出的文档。
  - 依赖项扫描报告的文档。
  - 容器扫描报告的文档。
  - 查看此示例安全作业定义，该定义还定义了创建的产物。
  - 如果您需要一种新的扫描或报告类型，请创建一个议题并添加标签 devops::secure。
- 作业完成后，数据可以在以下位置看到：
  - 在合并请求安全报告中（合并请求安全报告数据流）。
  - 在浏览作业产物时。
  - 在安全仪表板中（仪表板数据流）。
可选。提供一种将结果作为漏洞进行交互的方式：
- 用户可以在其工作流中与来自您的产物的发现项进行交互。他们可以忽略发现项或接受它们并创建一个待办事项议题。
- 要自动创建议题而无需用户交互，请使用议题 API。
可选。提供自动修复步骤：
- 如果您在产物中指定了 remediations，它将通过我们的修复界面提出。
向 GitLab 演示集成：
- 在您测试并准备好演示您的集成后，联系我们。如果您跳过此步骤，您将无法进行支持的市场推广。
开始对您的 GitLab 集成进行支持的市场推广。
- 与我们的合作伙伴团队合作，以适当的方式支持您的市场推广。
- 支持的市场推广示例包括被列在我们的安全合作伙伴页面上、撰写博客文章、举办联合品牌网络研讨会或制作联合品牌白皮书。

如果您在完成集成或上述步骤时遇到任何问题，请创建一个议题与我们进一步讨论。