极狐GitLab 应用程序安全入门
完成以下步骤以充分利用极狐GitLab 应用程序安全工具。
- 为您的默认分支启用 Secret 检测扫描。
- 为您的默认分支启用依赖扫描,以便您可以开始识别代码库中现有的易受攻击的包。
- 将安全扫描添加到功能分支流水线。应该启用与在默认分支上运行的相同的扫描。通过将功能分支与默认分支结果进行比较,后续扫描将仅显示新漏洞。
- 让您的团队熟悉漏洞报告并建立漏洞分类工作流程。
- 考虑创建标记和议题看板,来帮助管理由漏洞造成的议题。议题看板为所有利益相关者提供所有议题的常见视角。
- 创建一个扫描结果策略,限制新漏洞被合并到您的默认分支中。
- 监控安全仪表盘趋势,以衡量在修复现有漏洞和防止引入新漏洞方面的成功。
- 启用其他扫描类型,例如 SAST、DAST、模糊测试或容器扫描,确保向功能流水线和默认分支流水线添加相同的扫描类型。
- 使用合规流水线或扫描执行策略,强制执行所需的扫描类型,并确保安全和工程之间的职责分离。
- 考虑启用 Review Apps 以允许在临时测试环境中使用 DAST 和 Web API fuzzing。
- 启用运营容器扫描,扫描生产集群中的容器镜像以查找安全漏洞。