• 安全测试
• 合规

安全配置

安全配置页面列出了安全测试和合规工具的以下内容：

• 名称、描述和文档链接。
• 是否可用。
• 配置按钮或其配置指南的链接。

为了确定每个安全控制的状态，极狐GitLab 在默认分支的最近提交中检查 CI/CD 流水线。

如果极狐GitLab 找到 CI/CD 流水线，则它会检查 .gitlab-ci.yml 文件中的每个作业。

• 如果作业为安全扫描器定义了 artifacts:reports 关键字，则极狐GitLab 认为安全扫描器已启用并显示已启用状态。
• 如果没有作业为安全扫描器定义 artifacts:reports 关键字，则极狐GitLab 认为安全扫描器已禁用并显示未启用状态。

如果极狐GitLab 没有找到 CI/CD 流水线，则它认为所有安全扫描程序都已禁用并显示未启用状态。

失败的流水线和作业包含在此过程中。如果已配置扫描器但作业失败，则仍认为该扫描器已启用。此过程还确定通过 API 返回的扫描程序和状态。

如果最新的流水线使用 Auto DevOps，则默认配置所有安全功能。

查看项目的安全配置：

1. 在左侧边栏中，选择 搜索或转到 并找到您的项目。
2. 在左侧边栏中，选择 安全 > 安全配置。

选择 配置历史 以查看 .gitlab-ci.yml 文件的历史记录。

安全测试

您可以配置以下安全控制：

• 静态应用安全测试（SAST）
  • 选择 启用 SAST 为当前项目配置 SAST。有关更多详细信息，请阅读在 UI 中配置 SAST。
• 动态应用安全测试（DAST）
  • 选择 启用 DAST 为当前项目配置 DAST。
  • 选择 管理扫描，管理保存的 DAST 扫描、站点配置文件和扫描仪配置文件。
• 依赖项扫描
  • 选择 使用合并请求进行配置，创建包含启用依赖扫描所需更改的合并请求。有关更多详细信息，请参阅通过自动合并请求启用依赖扫描。
• 容器扫描
  • 选择 使用合并请求进行配置，创建包含启用容器扫描所需更改的合并请求。有关详细信息，请参阅通过自动合并请求启用容器扫描。
• 运营容器扫描
  • 可以通过将配置块添加到您的代理配置来进行配置。有关更多详细信息，请阅读运营容器扫描。
• Secret 检测
  • 选择 使用合并请求进行配置，创建包含启用 Secret 检测所需更改的合并请求。有关详细信息，请阅读通过自动合并请求启用 Secret 检测。
• API Fuzzing
  • 选择 启用 API Fuzzing 为当前项目使用 API Fuzzing。有关更多详细信息，请阅读 API Fuzzing。
• Coverage Fuzzing
  • 可以使用 .gitlab-ci.yml 进行配置。有关更多详细信息，请阅读 Coverage Fuzzing。

合规

您可以配置以下安全控制：

• 许可证合规
  • 可以使用 .gitlab-ci.yml 进行配置。有关更多详细信息，请阅读许可证合规性。
• 安全培训
  • 为当前项目启用 安全培训。有关更多详细信息，请阅读安全培训。