如何将自定义安全扫描器集成到极狐GitLab 中?

这篇具有很好参考价值的文章主要介绍了如何将自定义安全扫描器集成到极狐GitLab 中?。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

本文来自极狐GitLab 资源中心。原文链接:https://resources.gitlab.cn/articles/f8d8adc4-7007-4711-8614-23ebd61e807d。

GitLab 是一个全球知名的一体化 DevOps 平台,很多人都通过私有化部署 GitLab 来进行源代码托管。极狐GitLab :https://gitlab.cn/install?channel=content&utm_source=csdn 是 GitLab 在中国的发行版,专门为中国程序员服务。可以一键式部署极狐GitLab。

更多关于极狐GitLab :https://gitlab.cn 或者 DevOps 的最佳实践,可以关注文末的极狐GitLab 公众号。

为了扩展DevSecOps平台,学习如何将自定义安全扫描器集成到工作流程中是至关重要的,以下是一个易于遵循的教程。

极狐GitLab 是最全面的 DevSecOps 平台,拥有规划、管理、构建、部署、保护、管理和监控应用程序所需的一切。但是,在某些情况下,你可能希望使用第三方或自定义工具来扩展极狐GitLab。比如,你想从单独的解决方案迁移到 DevSecOps 平台、评估第三方工具或将专有或定制的解决方案集成到极狐GitLab 中。

以下涵盖到的一些内容:

  • 极狐GitLab DevSecOps 平台可扩展性
  • 极狐GitLab安全扫描器集成
    • 合并请求安全小部件
    • 流水线安全部分
    • 漏洞报告
    • 漏洞页面
    • 安全仪表板
    • 扫描结果 策略集成
  • 教程:集成自定义安全扫描器
    • 创建自定义安全扫描器
    • 将自定义安全扫描器与极狐GitLab 集成

极狐GitLab DevSecOps 平台可扩展性

极狐GitLab 可以通过多种方式进行扩展,以支持您的组织可能需要的增强功能。这些集成的一些常见示例包括:

  • 外部应用程序集成,例如 Jenkins 和 Slack
  • 外部问题跟踪集成,例如 Bugzilla 和 Jira
  • 外部身份验证提供商集成,例如 LDAP 和 SAML
  • 外部安全扫描器集成,例如 Fortify 和 Checkmarx
  • 能够响应泄露的机密,例如 AWS 和 GCP 访问密钥

您可以在极狐GitLab 集成文档中查看所有可用的集成。 (注意:文档中并未列出所有集成。)

极狐GitLab安全扫描器集成

第三方或定制的安全扫描器均可被集成到极狐GitLab中,以补充合并请求小部件、流水线安全部分、漏洞报告、漏洞页面、安全仪表板以及扫描结果策略。接下来,我们将逐一回顾这些集成内容。

合并请求安全小部件

合并请求包含一个安全小部件,它可以显示新检测到的漏洞的摘要。

resources.gitlab.cn/articles/f8d8adc4-7007-4711-8614-23ebd61e807d,安全,gitlab,Code Review,devops,极狐GitLab

当您单击漏洞时,您将看到一个弹出窗口,其中包含以下信息:

  • 状态
  • 描述
  • 项目
  • 文件
  • 身份标识
  • 严重程度
  • 工具
  • 扫描器供应商

resources.gitlab.cn/articles/f8d8adc4-7007-4711-8614-23ebd61e807d,安全,gitlab,Code Review,devops,极狐GitLab

这些漏洞也是可操作的,这意味着它们可以被忽略,也可以创建机密议题。

自定义扫描器的结果可用于填充安全小部件。漏洞数据是从扫描器发出的 JSON 模式填充的。

流水线安全部分

所有启用的安全分析器都在流水线中运行,并将其结果作为制品输出。这些制品将被处理,包括重复数据删除,结果会列在“流线型安全性”选项卡上。您还可以从此处下载生成的 JSON 文件。

resources.gitlab.cn/articles/f8d8adc4-7007-4711-8614-23ebd61e807d,安全,gitlab,Code Review,devops,极狐GitLab

自定义扫描器的结果可用于填充“流水线安全”选项卡。使用扫描器发出的 JSON 模式填充这些列。

漏洞报告

漏洞报告提供有关默认分支扫描中的漏洞的信息,包括:

  • 每个严重级别的漏洞总数
  • 常见漏洞属性的过滤器
  • 每个漏洞的详细信息,以表格布局呈现

resources.gitlab.cn/articles/f8d8adc4-7007-4711-8614-23ebd61e807d,安全,gitlab,Code Review,devops,极狐GitLab

默认分支上的自定义扫描程序的结果可用于填充漏洞报告。

漏洞页面

点击漏洞报告中存在的漏洞会将您带到其漏洞页面。项目中的每个漏洞都有一个漏洞页面,其中提供了详细信息,例如:

  • 描述
  • 检测时间
  • 当前状态
  • 检测到的位置
  • 可执行的操作
  • 关联的议题
  • 操作日志
  • 解决方案
  • 标识符
  • 训练

您可以使用漏洞页面中提供的数据对检测到的漏洞进行分类并协助修复。

resources.gitlab.cn/articles/f8d8adc4-7007-4711-8614-23ebd61e807d,安全,gitlab,Code Review,devops,极狐GitLab

自定义扫描程序的结果可用于填充漏洞页面。漏洞数据是从扫描器发出的 JSON 模式填充的。

安全仪表板

安全仪表板用于评估应用程序的安全状况。 极狐GitLab 为您提供了项目上运行的安全扫描器检测到的漏洞的一系列指标、评级和图表。安全仪表板提供以下数据:

  • 组中所有项目在 30 天、60 天或 90 天时间范围内的漏洞趋势
  • 根据漏洞严重程度对每个项目进行字母等级评级
  • 过去 365 天内检测到的漏洞总数及其严重级别

resources.gitlab.cn/articles/f8d8adc4-7007-4711-8614-23ebd61e807d,安全,gitlab,Code Review,devops,极狐GitLab

在群组级安全仪表板中,您可以单击项目以访问其特定的安全仪表板,该仪表板提供 365 天视图。

resources.gitlab.cn/articles/f8d8adc4-7007-4711-8614-23ebd61e807d,安全,gitlab,Code Review,devops,极狐GitLab

扫描结果策略集成

扫描结果策略用于根据一项或多项安全扫描作业的结果要求批准。这可以防止不安全的代码被合并到生产中。扫描结果策略在 CI 扫描作业完全执行后进行评估,其中策略是根据已完成的流水线中发布的作业工件报告进行评估的。

例如,您可以创建一个扫描结果策略,如果密钥检测扫描程序发现任何漏洞,则需要项目维护人员的批准。就是这样:

1、在左侧边栏上,选择“搜索”或转至并搜索您要添加策略的项目。

2、在项目左侧边栏上,转到“安全”>“策略”

3、选择新策略

4、在“扫描结果策略”部分中,选择“选择策略”。

5、填写字段:

  • 名称:策略名称
  • 描述:策略的描述
  • 策略状态:是否启用
  • 规则:发生某项操作(需要批准)必须满足的条件

resources.gitlab.cn/articles/f8d8adc4-7007-4711-8614-23ebd61e807d,安全,gitlab,Code Review,devops,极狐GitLab

操作:满足规则中的条件(已定义的漏洞/检测到的许可证)时要采取的操作
resources.gitlab.cn/articles/f8d8adc4-7007-4711-8614-23ebd61e807d,安全,gitlab,Code Review,devops,极狐GitLab

覆盖项目审批设置:如果选择,以下选项将覆盖项目设置,但仅影响策略中选择的分支

resources.gitlab.cn/articles/f8d8adc4-7007-4711-8614-23ebd61e807d,安全,gitlab,Code Review,devops,极狐GitLab

6、点击“使用合并请求配置”按钮。

合并扫描结果策略后,每当您创建合并请求并且满足规则中定义的条件时,就会触发定义的操作。在这种情况下,在合并代码之前至少需要得到维护者的批准。

resources.gitlab.cn/articles/f8d8adc4-7007-4711-8614-23ebd61e807d,安全,gitlab,Code Review,devops,极狐GitLab

自定义扫描器的结果可以与扫描结果策略完全集成。如果自定义扫描程序检测到漏洞,则需要先获得批准才能合并代码。您在扫描结果策略中选择的扫描器必须利用适当的 JSON 架构。

教程:集成自定义安全扫描器

现在让我们开始有趣的部分——集成自定义安全扫描器。在本教程中,您将学习如何创建自定义安全扫描器,以及如何将其与极狐GitLab 集成。我们将利用以下项目:

  • Fern 模式扫描器:扫描您的文件以查找特定模式,例如密码、私钥。
  • 密钥列表:包含用户密码、客户端和密钥的列表。该项目用于展示如何将自定义安全扫描器集成到极狐GitLab 中。

创建自定义安全扫描器

现在让我们创建一个可以集成到极狐GitLab 中的自定义扫描器。在自定义扫描器与极狐GitLab 完全集成之前,扫描器必须:

  • 扫描目录中定义的模式
  • 按照适当的模式发出 JSON
  • 容器化且可访问
  • 提供一个模板以允许它在另一个项目上运行

当使用提供的模板在项目上运行 Fern 模式扫描器时,它会执行以下步骤:

1、加载一组定义要检测的模式(正则表达式)的规则。

  • 允许配置规则以满足组织不断变化的需求。

2、扫描文件中定义的模式。

3、按照密钥检测规则发出 JSON 报告。

  • 此项目中使用 Go 模板来创建 JSON。
  • 根据扫描器要查找的内容,确保使用适当的架构。

一旦 JSON 报告作为工件加载到极狐GitLab 中,它将填充合并请求小部件、漏洞报告、漏洞页面、扫描结果策略和安全仪表板(如上定义)。

将自定义安全扫描器与极狐GitLab 集成

创建满足所有集成需求的自定义扫描器后,您可以在极狐GitLab 上运行它。

运行自定义扫描器就像添加模板一样简单。我们可以通过检查Secret List 项目中的 .gitlab-ci.yml 来了解 Fern 模式扫描器模板是如何加载的。

在您希望扫描器运行的项目中创建一个.gitlab-ci.yml 文件。

包括自定义扫描器模板。

您还应该能够使用环境变量配置模板。

将文件提交到主分支。

提交文件后,您可以看到自定义扫描程序将在您的流水线中运行。流水线完成后,扫描器将填充上面在 极狐GitLab 安全扫描器集成部分中定义的所有区域。

学习极狐GitLab 的相关资料:

  1. 极狐GitLab 官网:https://gitlab.cn
  2. 极狐GitLab 官网文档:https://docs.gitlab.cn
  3. 极狐GitLab 论坛:https://forum.gitlab.cn/
  4. 极狐GitLab 安装配置:https://gitlab.cn/install

搜索【极狐GitLab】公众号,后台输入加群,备注gitlab,即可加入官方微信技术交流群。文章来源地址https://www.toymoban.com/news/detail-855318.html

到了这里,关于如何将自定义安全扫描器集成到极狐GitLab 中?的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络安全必备的五款免费网络漏洞扫描器

    尽管我们在电子设备上安装了安全软件,但这些安全软件并不能自主跟踪并捕获所有漏洞。这时候,我们就需要额外安装网络漏洞扫描器,它可以帮助您自动执行安全审查,在IT安全中发挥重要作用。在扫描网络和网站时,网络漏洞扫描器能够查找成千上万的不同安全风险,

    2024年02月13日
    浏览(55)
  • 网络安全必备:Kali 中扫描器和爆破工具的选用与实践

    数据来源         本文仅用于信息安全的学习,请遵守相关法律法规,严禁用于非法途径。若观众因此作出任何危害网络安全的行为,后果自负,与本人无关。   背景         在渗透测试过程中,为了节省人力和时间,通常采用手工和工具相结合的方式。使用工具,

    2024年02月12日
    浏览(44)
  • 了解Portscan扫描器

    Portscan端口扫描器程序可以帮助用户寻找到当前网络上正在运行的所有设备。Portscan端口扫描器其拥有200多个线程,是企业用户扫描ip地址的首选扫描程序。 一、使用Portscan扫描器扫描网站 1.1.双击“PortScan.exe”图标。如图1所示 图1 1.2.Portscan扫描器界面。如图2所示 图2 1.3.选择

    2024年02月12日
    浏览(52)
  • 漏洞扫描器-AWVS

    漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为。 ✓ 针对某类漏洞的:sql注入(sqlmap)、weblogic(weblogicscan) ✓ 针对某类CMS的:wordpress(wpscan)、dedecms(dedecmsscan)

    2024年02月13日
    浏览(63)
  • Nmap网络扫描器实验

    网络入侵的一般流程是确定目标、信息收集、漏洞挖掘、实施攻击、留下后门、清除日志。在信息收集环节又可分为网络踩点、网络扫描和网络查点。在网络扫描部分,按照攻击者的入侵流程又可分为主机扫描、端口扫描、系统类型探测和漏洞扫描。 网络扫描是针对整个目标

    2024年02月03日
    浏览(54)
  • wordpres漏洞扫描器——wpscan

    使用PHP语言开发的博客平台 WordPress是使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也可以把 WordPress当作一个内容管理系统(CMS)来使用。 WordPress是一款个人博客系统,并逐步演化成一款内容管理系统软件,它是使用PHP语言和

    2023年04月13日
    浏览(47)
  • Nmap扫描器主机、端口、版本、OS、漏洞扫描基本用法

    操作系统:kali 1、批量Ping扫描:  批量扫描一个网段的主机存活数。 扫描IP地址范围:  可以指定一个IP地址范围   2、跳过Ping探测:   有些主机关闭了ping检测,所以可以使用 -P0 跳过ping的探测,可以加快扫描速度。 3、计算网段主机IP  -sL      仅列出指定网段上的每台主机,不

    2024年02月11日
    浏览(53)
  • Nessus: 漏洞扫描器-网络取证工具

    要理解网络漏洞攻击,应该理解攻击者不是单独攻击,而是组合攻击。因此,本文介绍了关于Nessus历史的研究,它是什么以及它如何与插件一起工作。研究了Nessus的特点,使其成为网络取证中非常推荐的网络漏洞扫描工具。本文还介绍了如何下载Nessus以及所涉及的步骤。使用

    2023年04月16日
    浏览(49)
  • 轻量级网络IP扫描器WatchYourLAN

    什么是 WatchYourLAN ? WatchYourLAN 是一款带有 Web GUI 的轻量级网络 IP 扫描器。支持使用不同的主题和色彩模式进行个性化设置。 扫描网络,首先要找到对应的网络接口,一般常见的包括 eth0 、 lo 、 docker0 等,可以在 SSH 客户端命令行,执行下面的命令 但是目前 WatchYourLAN 还不支

    2024年02月06日
    浏览(68)
  • Portscan一款局域网端口扫描器

          Portscan是一款局域网端口扫描器,可以用于扫描目的主机的开放端口,并猜测目的主机的操作系统,支持Edge、Wi-Fi和3G网络。打开PortScan软件后默认会帮你填好超始IP及端口号,结束IP可以自已根据需求填写好,然后扫描即可。       它能够帮助用户查找网络中正在

    2024年02月13日
    浏览(54)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包