检测
检测项目仓库和应用程序行为中的漏洞。启用极狐 GitLab 安全工具,从项目的整个生命周期开始,在首次提交之前就启动。
检测覆盖范围
扫描项目仓库并测试应用程序行为以检测漏洞:
- 仓库扫描可以检测项目仓库中的漏洞。覆盖范围包括应用程序的源代码,以及其依赖的库和容器镜像。
- 应用程序及其 API 的行为测试可以检测仅在运行时出现的漏洞。
仓库扫描
项目仓库可能包含源代码、依赖声明和基础设施定义。仓库扫描可以检测这些中的漏洞。
仓库扫描工具包括:
- 静态应用程序安全测试 (SAST): 分析源代码中的漏洞。
- 基础设施即代码 (IaC) 扫描: 检测应用程序基础设施定义中的漏洞。
- 密钥检测: 检测并阻止密钥被提交到仓库。
- 依赖扫描: 检测应用程序依赖和容器镜像中的漏洞。
行为测试
行为测试需要一个可部署的应用程序来测试已知漏洞和意外行为。
行为测试工具包括:
- 动态应用程序安全测试 (DAST): 测试应用程序的已知攻击向量。
- API 安全测试: 测试应用程序的 API 对已知攻击和输入漏洞。
- 覆盖引导模糊测试: 测试应用程序的意外行为。
生命周期覆盖范围
应该在首次提交之前到应用程序可以部署和运行时启用漏洞检测。早期检测有许多好处,包括更容易和更快速的修复。
所有极狐 GitLab 应用程序安全扫描工具都可以在 CI/CD 流水线中运行,由代码更改触发。安全扫描也可以在代码更改之外的计划中运行,有些还可以手动运行。重要的是在 CI/CD 流水线之外进行检测,因为风险可能在代码更改之外出现。例如,依赖项中新发现的漏洞可能对任何使用它的应用程序构成风险。