极狐GitLab 应用安全入门指南
识别并修复应用程序源代码中的漏洞。通过自动扫描代码中的潜在安全问题,将安全测试集成到软件开发生命周期中。
您可以扫描各种编程语言和框架,并检测诸如 SQL 注入、跨站脚本攻击 (XSS) 和不安全依赖项等漏洞。安全扫描的结果显示在极狐GitLab UI 中,您可以在其中查看和解决这些问题。
这些功能还可以与其他极狐GitLab 功能集成,例如合并请求和流水线,以确保在整个开发过程中安全是重中之重。
此过程是较大工作流程的一部分:
第一步:了解扫描
密钥检测会扫描您的存储库,以帮助防止密钥泄露。它适用于所有编程语言。
依赖项扫描会分析您的应用程序依赖项,以发现已知漏洞。它适用于某些语言和软件包管理器。
欲了解更多信息,请参阅:
第二步:选择一个项目进行测试
如果这是您第一次设置极狐GitLab 安全扫描,您应该从单个项目开始。该项目应该:
- 使用您组织的典型编程语言和技术,因为某些扫描功能对不同语言的工作方式有所不同。
- 允许您尝试新的设置,例如所需的批准,而不会中断您的团队的日常工作。您可以创建一个高流量项目的副本,或选择一个不那么繁忙的项目。
第三步:启用扫描
要识别项目中的泄漏密钥和易受攻击的软件包,请创建一个合并请求以启用密钥检测和依赖项扫描。
此合并请求会更新您的 .gitlab-ci.yml 文件,以便扫描作为项目 CI/CD 流水线的一部分运行。
作为此合并请求的一部分,您可以更改设置以适应项目的布局或配置。例如,您可能会排除第三方代码目录。
在您将此合并请求合并到默认分支后,系统会创建基线扫描。此扫描识别默认分支上已经存在的漏洞。然后,合并请求将突出显示任何新引入的问题。
没有基线扫描,合并请求会显示分支中的所有漏洞,即使漏洞已经存在于默认分支中。
欲了解更多信息,请参阅:
第四步:查看扫描结果
让您的团队习惯于在合并请求和漏洞报告中查看安全发现。
建立漏洞分类工作流程。考虑创建标签和议题板,以帮助管理由漏洞创建的议题。使用议题板,所有利益相关者都可以查看所有议题,并跟踪修复进度。
监控安全仪表板趋势,以评估修复现有漏洞和防止引入新漏洞的成功情况。
欲了解更多信息,请参阅:
第五步:安排未来的扫描作业
通过使用扫描执行策略强制安排安全扫描作业。这些计划的作业独立于您可能在合规框架流水线或项目的 .gitlab-ci.yml 文件中定义的任何其他安全扫描运行。
计划扫描对于开发活动较少且流水线扫描不频繁的项目或重要分支最有用。
欲了解更多信息,请参阅:
第六步:限制新的漏洞
要强制执行所需的扫描类型并确保安全和工程之间的职责分离,请使用扫描执行策略。
要限制新漏洞合并到默认分支中,请创建合并请求审批策略。
在您熟悉扫描的工作方式后,您可以选择:
- 按照相同的步骤在更多项目中启用扫描。
- 一次在更多项目中强制执行扫描。
欲了解更多信息,请参阅:
第七步:继续扫描新漏洞
随着时间的推移,您希望确保没有引入新的漏洞。
- 要揭示存储库中已存在的新发现漏洞,请定期运行依赖项和容器扫描。
- 要扫描生产集群中的容器镜像以查找安全漏洞,请启用操作容器扫描。
- 启用其他扫描类型,例如 SAST、DAST 或模糊测试。
- 要允许在临时测试环境中进行 DAST 和 Web API 模糊测试,请考虑启用评审应用。
欲了解更多信息,请参阅: