安全配置
安全配置页面列出了安全测试和合规工具的以下内容:
- 名称、描述和文档链接。
- 是否可用。
- 配置按钮或其配置指南的链接。
为了确定每个安全控制的状态,极狐GitLab 在默认分支的最近提交中检查 CI/CD 流水线。
如果极狐GitLab 找到 CI/CD 流水线,则它会检查 .gitlab-ci.yml
文件中的每个作业。
- 如果作业为安全扫描器定义了
artifacts:reports
关键字,则极狐GitLab 认为安全扫描器已启用并显示已启用状态。 - 如果没有作业为安全扫描器定义
artifacts:reports
关键字,则极狐GitLab 认为安全扫描器已禁用并显示未启用状态。
如果极狐GitLab 没有找到 CI/CD 流水线,则它认为所有安全扫描程序都已禁用并显示未启用状态。
失败的流水线和作业包含在此过程中。如果已配置扫描器但作业失败,则仍认为该扫描器已启用。此过程还确定通过 API 返回的扫描程序和状态。
如果最新的流水线使用 Auto DevOps,则默认配置所有安全功能。
查看项目的安全配置:
- 在左侧边栏中,选择 搜索或转到 并找到您的项目。
- 在左侧边栏中,选择 安全 > 安全配置。
选择 配置历史 以查看 .gitlab-ci.yml
文件的历史记录。
安全测试
您可以配置以下安全控制:
-
静态应用安全测试(SAST)
- 选择 启用 SAST 为当前项目配置 SAST。有关更多详细信息,请阅读在 UI 中配置 SAST。
-
动态应用安全测试(DAST)
- 选择 启用 DAST 为当前项目配置 DAST。
- 选择 管理扫描,管理保存的 DAST 扫描、站点配置文件和扫描仪配置文件。
-
依赖项扫描
- 选择 使用合并请求进行配置,创建包含启用依赖扫描所需更改的合并请求。有关更多详细信息,请参阅通过自动合并请求启用依赖扫描。
-
容器扫描
- 选择 使用合并请求进行配置,创建包含启用容器扫描所需更改的合并请求。有关详细信息,请参阅通过自动合并请求启用容器扫描。
-
运营容器扫描
- 可以通过将配置块添加到您的代理配置来进行配置。有关更多详细信息,请阅读运营容器扫描。
-
Secret 检测
- 选择 使用合并请求进行配置,创建包含启用 Secret 检测所需更改的合并请求。有关详细信息,请阅读通过自动合并请求启用 Secret 检测。
-
API Fuzzing
- 选择 启用 API Fuzzing 为当前项目使用 API Fuzzing。有关更多详细信息,请阅读 API Fuzzing。
-
Coverage Fuzzing
- 可以使用
.gitlab-ci.yml
进行配置。有关更多详细信息,请阅读 Coverage Fuzzing。
- 可以使用
合规
您可以配置以下安全控制: