极狐GitLab上的Building风云 - 之Security风云再起 JIHULAB 101
接上一篇《极狐GitLab上的Building风云 - 之Docker风云必胜》内容《Security风云再起》。
小白经过几天已经安奈不住想要去江湖上施展一下拳脚,但总舵主之前说写的武功秘籍里可能有破绽和漏洞,一直不感发布,今天非要找总舵主学习一番,说走就走,去总舵找舵主问问怎么能确定我的武功秘籍里有没有漏洞。
总舵主:小白啊,我这么忙你不知道吗?看你这么好学,那就告诉你吧,咱极狐GitLab也可以帮你审查漏洞,在Security堂口,那里都是搞安全的高手,可以帮你扫描你写的武功秘籍,其中包括静态应用程序安全测试 (SAST)、基础设施即代码 (IaC) 扫描、动态应用程序安全测试 (DAST)、依赖扫描、容器扫描等等安全扫描。
想要启动安全扫描,我们去 Security Configuration 开启,部分功能是高级功能,免费版并不包含在内,需要升级订阅等级,看你是我们的新会员,可以免费体验一个月的高级功能。
静态应用程序安全测试 (SAST):只需要点击 Configure with a merge request 按钮,会创建一个 merge request 请求,他会在 .gitlab-ci.yml 中自动添加一些stages阶段,例如会添加 template: Security/SAST.gitlab-ci.yml,也就是引用 Security/SAST.gitlab-ci.yml 模板,在后续 Pipeline 中讲执行扫描任务,并得到扫描报告,静态扫描只扫描代码,几乎支持常见的语言,并可得出风险等级;这个是非常常用的扫描,建议你们都开启哦。
基础设施即代码 (IaC) 扫描:跟配置SAST一样,只需要点按钮,就会自动修改.gitlab-ci.yml,会扫描我们的基础设置配置文件,例如:Dockerfile、Kubernetes等,从而评估出我们容器配置的风险。
动态应用程序安全测试 (DAST):同样可以自动配置,动态扫描就是扫描我们的网站,配置一个我们的网站链接,就会开始扫描我们的网站,所以称之为动态测试,测试之前需要认证网址,因为你不能扫描别人的网站,万一你扫出别人的漏洞加以利用就不好了;这个功能因为要扫描全站,如果网站特别大会非常耗费CI/CD时间,请酌情开启。
依赖扫描:同样可以自动配置,他可以自动扫描我们项目中依赖的第三方库是否有公开的漏洞报告,让我们及时的的知道我们依赖的库是否出现漏洞及时升级依赖库版本,这个也建议开启哦。
容器扫描:我们构建镜像时依赖的底层镜像可能也会出现漏洞,这个功能可以帮我们扫描出底层镜像的漏洞,开启以后再也不用担心构建的容器是不是不安全了。
密钥扫描:我们仓库中有时在提交时会意外的将一些密码、密钥、令牌随代码一起提交,这个功能可以帮我们扫描出仓库中存在的密钥,我们可以及时的的禁用泄漏的密钥。
小白说:Security堂口这么厉害啊,我去试试。有的怎么不让我用啊?
舵主说:有的功能例如动态应用程序安全测试 (DAST)、依赖扫描、容器扫描等高级功能,我们只提供给高级成员使用,你需要付费资助一下订阅我们的高级会员才能使用,但作为新成员可以免费体验一个月的旗舰功能哦。
小白说:我赶紧申请去试试,扫描结果出来了,这么多漏洞啊,我赶紧去修我的武功秘籍了,谢谢总舵主,下次再来找您。

总舵主:哎!咋跑这么快,这小白,我们还有好多技术呢,下次再说吧。
商业用途请联系作者获得授权。
版权声明:本文为博主「任霏」原创文章,遵循 CC BY-NC-SA 4.0 版权协议,转载请附上原文出处链接及本声明。
相关推荐
猜你还喜欢这些内容,不妨试试阅读一下评论与留言
以下内容均由网友提交发布,版权与真实性无法查证,请自行辨别。微信订阅号
扫码关注「任霏博客」微信订阅号- 你好,我想问一下如果是分析型的数据库要怎么制作docker镜像呢 是修改V008R003C002B0320版本号吗
- 可以的,我也正在开发分享的程序,可以邮件或群联系我都可以,关于页面里有联系方式:https://www.renfei.net/page/about 。
- 有破解软件的需要可以私下联系您吗?
- 您好,手机APP只是个客户端,用于数据呈现展示,数据均保存在服务器上,只留个APP没有任何用处,无能为力哦。
- 老哥 看你弄了这么多软件好厉害啊。 我有个软件 我买过几个小会员 没用几天 然后商家跑路了,软件服务器关闭了,连不上去 用不了。 你能做成一个打补丁版本可以本地用的么? 方便看下么?https://haodezhe.lanzouw.com/iD0f30h9joza 谢谢老哥!
- 您好,由于版权投诉和我国知识产权法的完善,我已经下架所有破解软件的下载链接了。
- 请问怎么下载呀
- 我保存的License在:https://gitlab.com/renfei/KingbaseES-V8-R3/-/tree/master/License ,开发版是长期有效的,只不过限制连接数,现在官网好像已经下线 V8R3 的下载页面了,其他版本我也不确定是否过期
- 这个版本的license有没有
- 序列号长度不对呀
- 优雅的源代码管理(二):Git 的工作原理
- 优雅的源代码管理(一):版本控制系统 VCS(Version Control System)与软件配置管理 SCM(Software Configuration Management)
- ChatGPT 开发商 OpenAI 买下极品域名 AI.com
- 火爆的 AI 人工智能 ChatGPT 国内注册教程、使用方式和收费标准
- 解决 SpringCloud 中 bootstrap.yml 不识别 @[email protected] 参数
- Cron表达式书写教程搞定Linux、Spring、Quartz的定时任务
- 阿里云香港可用区C发生史诗级故障
- 国产统信UOS服务器操作系统V20提供免费使用授权
- 开源站长推送工具效果评测推荐(百度/必应/谷歌)
- 获取公网IP服务「ip.renfei.net」升级增加地理定位数据字段公示