极狐GitLab上的Building风云 - 之Security风云再起 JIHULAB 101
接上一篇《极狐GitLab上的Building风云 - 之Docker风云必胜》内容《Security风云再起》。
小白经过几天已经安奈不住想要去江湖上施展一下拳脚,但总舵主之前说写的武功秘籍里可能有破绽和漏洞,一直不感发布,今天非要找总舵主学习一番,说走就走,去总舵找舵主问问怎么能确定我的武功秘籍里有没有漏洞。
总舵主:小白啊,我这么忙你不知道吗?看你这么好学,那就告诉你吧,咱极狐GitLab也可以帮你审查漏洞,在Security堂口,那里都是搞安全的高手,可以帮你扫描你写的武功秘籍,其中包括静态应用程序安全测试 (SAST)、基础设施即代码 (IaC) 扫描、动态应用程序安全测试 (DAST)、依赖扫描、容器扫描等等安全扫描。
想要启动安全扫描,我们去 Security Configuration 开启,部分功能是高级功能,免费版并不包含在内,需要升级订阅等级,看你是我们的新会员,可以免费体验一个月的高级功能。
静态应用程序安全测试 (SAST):只需要点击 Configure with a merge request 按钮,会创建一个 merge request 请求,他会在 .gitlab-ci.yml 中自动添加一些stages阶段,例如会添加 template: Security/SAST.gitlab-ci.yml,也就是引用 Security/SAST.gitlab-ci.yml 模板,在后续 Pipeline 中讲执行扫描任务,并得到扫描报告,静态扫描只扫描代码,几乎支持常见的语言,并可得出风险等级;这个是非常常用的扫描,建议你们都开启哦。
基础设施即代码 (IaC) 扫描:跟配置SAST一样,只需要点按钮,就会自动修改.gitlab-ci.yml,会扫描我们的基础设置配置文件,例如:Dockerfile、Kubernetes等,从而评估出我们容器配置的风险。
动态应用程序安全测试 (DAST):同样可以自动配置,动态扫描就是扫描我们的网站,配置一个我们的网站链接,就会开始扫描我们的网站,所以称之为动态测试,测试之前需要认证网址,因为你不能扫描别人的网站,万一你扫出别人的漏洞加以利用就不好了;这个功能因为要扫描全站,如果网站特别大会非常耗费CI/CD时间,请酌情开启。
依赖扫描:同样可以自动配置,他可以自动扫描我们项目中依赖的第三方库是否有公开的漏洞报告,让我们及时的的知道我们依赖的库是否出现漏洞及时升级依赖库版本,这个也建议开启哦。
容器扫描:我们构建镜像时依赖的底层镜像可能也会出现漏洞,这个功能可以帮我们扫描出底层镜像的漏洞,开启以后再也不用担心构建的容器是不是不安全了。
密钥扫描:我们仓库中有时在提交时会意外的将一些密码、密钥、令牌随代码一起提交,这个功能可以帮我们扫描出仓库中存在的密钥,我们可以及时的的禁用泄漏的密钥。
小白说:Security堂口这么厉害啊,我去试试。有的怎么不让我用啊?
舵主说:有的功能例如动态应用程序安全测试 (DAST)、依赖扫描、容器扫描等高级功能,我们只提供给高级成员使用,你需要付费资助一下订阅我们的高级会员才能使用,但作为新成员可以免费体验一个月的旗舰功能哦。
小白说:我赶紧申请去试试,扫描结果出来了,这么多漏洞啊,我赶紧去修我的武功秘籍了,谢谢总舵主,下次再来找您。

总舵主:哎!咋跑这么快,这小白,我们还有好多技术呢,下次再说吧。
商业用途请联系作者获得授权。
版权声明:本文为博主「任霏」原创文章,遵循 CC BY-NC-SA 4.0 版权协议,转载请附上原文出处链接及本声明。
相关推荐
猜你还喜欢这些内容,不妨试试阅读一下评论与留言
以下内容均由网友提交发布,版权与真实性无法查证,请自行辨别。微信订阅号
扫码关注「任霏博客」微信订阅号- 大佬 引入jar包那里的 driver class 怎么选的?
- 我也遇到了这个问题,已经解决了,在此分享一下 1、宿主机也要创建kingbase的用户和用户组,并且要查看一下用户和用户组的ID(这个很重要) 2、把data目录的用户和用户组设置为kingbase 3、先不要把data路径挂载到宿主机上,这时就可以正常启动,启动后进入容器,查看一下容器内的kingbase的用户和用户组ID是多少,和第一步的ID是否一致,如果ID一致,那正常挂载目录就行;如果ID不一致,那就需要修改Dockerfile文件,在构建镜像时,修改容器内的用户和用户组ID,必须和宿主机的保持一致。然后重新构建镜像,就可以正常挂载宿主机目录了 4、其实直接修改宿主机的用户和用户组ID也是可以的,但是容器内的ID一般是1000,但是宿主机的这个ID很可能已经被占用了,无法修改,就只能修改容器内的ID
- 接口已经允许跨域请求,也就是说你可以在你的页面上调用,获取用户的公网 IP。 如果你还需要其他需求,可以提交 Issue 给我。
- V008R003C002B0320 这个对应的jdbc链接驱动你在哪里找到的?我也遇到了这个问题。
- WARNING: max_connections should be less than orequal than 10 (restricted by license) HINT: the value of max_connect is set 10 WARNING: max_connections should be less than orequal than 10 (restricted by license) HINT: the value of max_connect is set 10 kingbase: superuser_reserved_connections must be less than max_connections 我按照文档修改了以后,不知道如何重启。
- 然后把数字都改成 1 再启动。 如何重新启动?
- ksql: could not connect to server: No such file or directory Is the server running locally and accepting connections on Unix domain socket "/tmp/.s.KINGBASE.54321"
- 进入容器查看一下日志,是不是启动失败了,日志文件在:/opt/kingbase/logfile
- ksql: could not connect to server: No such file or directory Is the server running locally and accepting connections on Unix domain socket "/tmp/.s.KINGBASE.54321"?
- 先通过 docker exec -it 容器名/id /bin/bash 进入容器,然后在容器中使用 ksql 客户端进行连接数据库:/opt/kingbase/Server/bin/ksql -U system test
- 免费.ml域名10年委托合同到期被马里共和国收回域名经营权
- 从极狐Gitlab看各种中间件技术选型
- 时隔十年首次收到 Google AdSense 的付款
- ga域名被加蓬共和国从Freenom公司手中收回域名经营权
- Freenom 被 Meta(Facebook) 起诉导致暂停 .tk/.ga/.ml/.cf/.gq 等新域名注册
- 生花妙笔信手来 – 基于 Amazon SageMaker 使用 Grounded-SAM 加速电商广告素材生成 [1]
- github.renfei.net 不再完整代理 Github 页面改为代理指定文件
- 优雅的源代码管理(三):本地优雅的使用 Git Rebase 变基
- 优雅的源代码管理(二):Git 的工作原理
- 优雅的源代码管理(一):版本控制系统 VCS(Version Control System)与软件配置管理 SCM(Software Configuration Management)