基于云效代码管理的源码漏洞检测是怎样的?
在软件编程中大多数安全漏洞都源于撰写者,虽然编码工具偶尔也会发生意外,但大部分的错误还是由于编码不当造成的。
企业可以通过为开发者提供更多的编码安全培训来尽可能的减少安全风险,但是效果通常并没有设想的那么有效。
现在,Codeup 内置支持源码漏洞检测,基于专业安全产品Sourcebrella Pinpoint,为用户提供编码漏洞检测服务,包括:
数据泄露:例如泄露堆栈信息、数据传入不安全 API 等;
安全策略管理:如弱加密函数、不安全 SSL、不安全随机性、访问控制、不安全存储等;
输入验证:如邮件命令注入、Json 注入、LDAP 操纵、跨站点请求伪造等;
启用源码漏洞检测
为了提高检测灵活性,源码漏洞检测通过云效流水线 Flow 执行扫描,使用者可以将源码检测步骤自定义放置入自己的研发流程中。
参见「云效流水线 Flow 是什么」
点击「安全」标签页,若没有开启过任何检测任务,将出现服务开启选项:
点击「立即启用」在弹窗中完成检测参数配置:
检测 Java 语言需要设置构建命令,如无特殊依赖,默认编译命令可直接使用。
点击「执行检测」将立即创建流水线检测任务并执行检测。
若已开启部分检测服务,将出现服务菜单和对应问题列表,点击「源码漏洞检测」标签可见开启按钮。
开启后默认提交代码和合并请求都将触发检测任务执行,如需修改需前往对应 Flow 流水线检测任务页面完成编辑。
查看检测结果
安全页面
由于检测根据代码情况将花费一定的时间,请耐心等待,检测完成后将展示问题列表,支持切换分支查看各分支最近一次检测结果:
点击问题名称将展开问题详情:
查看问题引入路径
支持查看问题引入的过程路径,点击路径名将跳转到对应文件行,供使用者排查问题来源:
同时支持查看已解决的问题历史和相对前一次检测新增的问题:
提交页面
针对执行检测的提交将呈现检测结果,点击查看详情:
修改检测参数
由于源码漏洞检测服务基于 Flow 流水线执行,因此修改设置需要前往对应流水线完成。
在检测结果页面将标识当前检测结果来源:
点击「报告来源流水线」将便捷跳转当前报告来源的流水线页面,如需修改检测规则,请点击编辑流水线完成设置:
如需修改代码源触发配置,可点击「源」完成触发方式等修改:
修改完成后保存即可,下次触发将使用新设置进行检测。
注意
1、展示规则
当前「安全」标签页-「源码漏洞检测」仅展示最近一次检测结果。
如果当前仓库同一分支存在多条流水线执行,目前 Codeup 仅同步全部流水线中最新一次检测结果供查看,其余流水线的执行结果可前往 Flow 查看。
2、弃用服务
如不再使用源码漏洞检测,请前往 Flow 流水线删除或弃用流水线对应检测任务即可,流水线将不再执行检测,Codeup 对应不再更新检测结果。
关于我们
了解更多关于阿里云云效 DevOps 的最新动态,可微信搜索并关注【云效】公众号;
福利:公众号后台回复【指南】,可获得《阿里巴巴 DevOps 实践指南》&《10 倍研发效能提升案例集》;
看完觉得对您有所帮助别忘记点赞、收藏和关注呦;
版权声明: 本文为 InfoQ 作者【阿里云云效】的原创文章。
原文链接:【http://xie.infoq.cn/article/321c682f866b1283f4b318c9d】。文章转载请联系作者。
评论