极狐GitLab 应用程序安全入门

完成以下步骤以充分利用极狐GitLab 应用程序安全工具。

  1. 为您的默认分支启用 Secret 检测扫描。
  2. 为您的默认分支启用依赖扫描,以便您可以开始识别代码库中现有的易受攻击的包。
  3. 将安全扫描添加到功能分支流水线。应该启用与在默认分支上运行的相同的扫描。通过将功能分支与默认分支结果进行比较,后续扫描将仅显示新漏洞。
  4. 让您的团队熟悉漏洞报告并建立漏洞分类工作流程。
  5. 考虑创建标记议题看板,来帮助管理由漏洞造成的议题。议题看板为所有利益相关者提供所有议题的常见视角。
  6. 创建一个扫描结果策略,限制新漏洞被合并到您的默认分支中。
  7. 监控安全仪表盘趋势,以衡量在修复现有漏洞和防止引入新漏洞方面的成功。
  8. 启用其他扫描类型,例如 SASTDAST模糊测试容器扫描,确保向功能流水线和默认分支流水线添加相同的扫描类型。
  9. 使用合规流水线扫描执行策略,强制执行所需的扫描类型,并确保安全和工程之间的职责分离。
  10. 考虑启用 Review Apps 以允许在临时测试环境中使用 DAST 和 Web API fuzzing
  11. 启用运营容器扫描,扫描生产集群中的容器镜像以查找安全漏洞。