静态应用安全测试 (SAST)

静态应用安全测试 (SAST) 在源代码投入生产环境之前发现其中的漏洞。SAST 直接集成到你的 CI/CD 流水线中，在开发阶段识别安全问题，此时修复最方便且最具成本效益。

开发后期发现的安全漏洞会导致代价高昂的延误和潜在的入侵。SAST 扫描会在每次提交时自动进行，在不打乱你工作流程的前提下提供即时反馈。

使用极狐GitLab Duo 减少误报并解决漏洞#

SAST 扫描器可能产生误报，从而在你的漏洞报告中产生干扰。极狐GitLab Duo 能辅助进行漏洞管理。

误报检测#

极狐GitLab Duo 误报检测 会自动分析严重和高危 SAST 漏洞，以识别可能的误报。这有助于你的安全团队专注于真正的漏洞，并减少手动分类所花费的时间。

对于拥有极狐GitLab Duo 附加组件的旗舰版客户，误报检测会在每次安全扫描后自动运行，并为每项评估提供置信度评分和解释。

Agentic SAST 漏洞解决#

Agentic SAST 漏洞解决 功能会自动为高危和严重级别的 SAST 漏洞生成包含上下文感知代码修复的合并请求。这种 Agentic 方式利用多步推理，用最少的人工干预解决漏洞。

对于旗舰版客户，当漏洞满足特定条件时，Agentic 漏洞解决方案会在每次安全扫描后自动运行。

功能#

下表列出了各项功能在极狐GitLab 各版本中的可用情况。

入门#

通过使用 UI 或编辑项目的极狐GitLab CI/CD 配置文件，在你的项目中启用 SAST。

通过 UI 启用 SAST#

你可以通过 UI 启用和配置 SAST，可以使用默认设置或进行定制。你可以使用的方法取决于你的极狐GitLab 许可证版本。

通过定制启用 SAST#

先决条件：

• 在项目中具有维护者或所有者角色。
• 使用 Docker 或 Kubernetes 执行器的基于 Linux 的极狐GitLab Runner。如果你使用的是 JihuLab.com 的托管 Runner，则默认启用 Docker 或 Kubernetes 执行器。
  • 不支持 Windows Runner 上的极狐GitLab Runner。
  • 不支持 AMD64 以外的 CPU 架构。
• 极狐GitLab CI/CD 配置（.gitlab-ci.yml）必须包含 test 阶段，该阶段默认包含。如果你在 .gitlab-ci.yml 文件中重新定义了阶段，则 test 阶段是必需的。

要启用并定制 SAST：

1. 在顶部栏中，选择 搜索或跳转到 并找到你的项目。

2. 在左侧边栏中，选择 安全 > 安全配置。

3. 如果项目默认分支的最新流水线已完成并生成了有效的 SAST 产物，则选择 配置 SAST，否则在静态应用安全测试 (SAST) 行中选择 启用 SAST。

4. 输入定制的 SAST 值。

   定制值存储在 .gitlab-ci.yml 文件中。对于不在 SAST 配置页面的 CI/CD 变量，其值从极狐GitLab SAST 模板继承。

5. 选择 创建合并请求。

6. 审查并合并该合并请求。

流水线现在包含一个 SAST 作业。如果存在支持的源代码，则适当的分析器和默认规则会在流水线运行时自动扫描漏洞。相应的作业会出现在项目流水线的 test 阶段下。

仅使用默认设置启用 SAST#

先决条件：

• 在项目中具有维护者或所有者角色。
• 使用 Docker 或 Kubernetes 执行器的基于 Linux 的极狐GitLab Runner。如果你使用的是 JihuLab.com 的托管 Runner，则默认启用 Docker 或 Kubernetes 执行器。
  • 不支持 Windows Runner 上的极狐GitLab Runner。
  • 不支持 AMD64 以外的 CPU 架构。
• 极狐GitLab CI/CD 配置（.gitlab-ci.yml）必须包含 test 阶段，该阶段默认包含。如果你在 .gitlab-ci.yml 文件中重新定义了阶段，则 test 阶段是必需的。

要使用默认设置启用和配置 SAST：

1. 在顶部栏中，选择 搜索或跳转到 并找到你的项目。

2. 在左侧边栏中，选择 安全 > 安全配置。

3. 在 SAST 部分，选择 使用合并请求配置。

   合并请求页面将打开。

4. 填写字段。

5. 选择 创建合并请求。

6. 审查并合并此合并请求以启用 SAST。

流水线现在包含一个 SAST 作业。如果存在支持的源代码，则适当的分析器和默认规则会在流水线运行时自动扫描漏洞。相应的作业会出现在项目流水线的 test 阶段下。

通过编辑 CI/CD 文件启用 SAST#

先决条件：

• 在项目中具有开发者、维护者或所有者角色。
• 使用 Docker 或 Kubernetes 执行器的基于 Linux 的极狐GitLab Runner。如果你使用的是 JihuLab.com 的托管 Runner，则默认启用 Docker 或 Kubernetes 执行器。
  • 不支持 Windows Runner 上的极狐GitLab Runner。
  • 不支持 AMD64 以外的 CPU 架构。
• 极狐GitLab CI/CD 配置（.gitlab-ci.yml）必须包含 test 阶段，该阶段默认包含。如果你在 .gitlab-ci.yml 文件中重新定义了阶段，则 test 阶段是必需的。

要在你的项目中启用 SAST：

1. 在顶部栏中，选择 搜索或跳转到 并找到你的项目。

2. 进入 构建 > 流水线 编辑器。

3. 添加 SAST CI/CD 模板或组件。

   要使用模板，请添加以下行：

   yaml
   include:
     - template: Jobs/SAST.gitlab-ci.yml

   要使用 CI/CD 组件，请添加以下行：

   yaml
   include:
     - component: gitlab.com/components/sast/sast@main

4. 选择 验证 选项卡，然后选择 验证流水线。

   消息 模拟完成，符合要求 确认该文件有效。

5. 选择 编辑 选项卡。

6. 填写字段：

   • 提交消息。
   • 分支。例如，add-sast。

7. 勾选 通过这些更改启动新合并请求 复选框，然后选择 提交变更。

   合并请求页面将打开。

8. 根据你的标准工作流程填写字段，然后选择 创建合并请求。

9. 根据你的标准工作流程审查和编辑合并请求，然后选择 合并。

Pipelines now include a SAST job. If supported source code is present, the appropriate analyzers and default rules automatically scan for vulnerabilities when a pipeline runs. The corresponding jobs appear under the test stage in the project's pipeline.

你可以在 SAST 示例项目 中查看一个可运行的示例。

后续步骤#

启用 SAST 后，你可以：

• 详细了解如何理解结果。
• 查阅优化技巧。
• 规划向更多项目推广。

理解结果#

先决条件：

• 在项目中具有安全管理员、开发者、维护者或所有者角色。

你可以在流水线中审查漏洞：

1. 在顶部栏中，选择 搜索或跳转到 并找到你的项目。
2. 在左侧边栏中，选择 构建 > 流水线。
3. 选择该流水线。
4. 选择 安全 选项卡。
5. 可以下载结果，或者选择一个漏洞查看其详细信息（仅限旗舰版），包括：
   • 描述：解释漏洞的成因、潜在影响以及推荐的修复步骤。
   • 状态：指示该漏洞是否已被分类或解决。
   • 严重性：根据影响分为六个级别。 了解关于严重性级别的更多信息。
   • 位置：显示发现问题所在的文件名和行号。 选择文件路径会在代码视图中打开相应的行。
   • 扫描器：识别是哪个分析器检测到了该漏洞。
   • 标识符：用于对漏洞进行分类的引用列表，例如 CWE 标识符和检测到它的规则 ID。

SAST 漏洞根据所发现漏洞的主要通用弱点枚举 (CWE) 标识符进行命名。 阅读每个漏洞发现的描述，以了解扫描器检测到的具体问题。 有关 SAST 覆盖范围的更多信息，请参阅 SAST 规则。

在旗舰版中，你还可以下载安全扫描结果：

先决条件：

• 在项目中具有安全管理员、开发者、维护者或所有者角色。

1. 在顶部栏中，选择 搜索或跳转到 并找到你的项目。
2. 在左侧边栏中，选择 构建 > 流水线。
3. 选择该流水线。
4. 选择 安全 选项卡。
5. 在流水线的 安全 选项卡中，选择 下载结果。

有关更多详细信息，请参阅流水线安全报告。

查看 SAST 结果的其他方式：

• 合并请求组件：显示新引入或已解决的发现结果。
• 合并请求变更视图：为已更改的行显示内联注释。
• 漏洞报告：显示默认分支上已确认的漏洞。

一条流水线包含多个作业，包括 SAST 和 DAST 扫描。如果任何作业因任何原因未能完成，安全仪表盘不会显示 SAST 扫描器的输出。例如，如果 SAST 作业完成但 DAST 作业失败，安全仪表盘不会显示 SAST 结果。失败时，分析器会输出一个退出代码。

合并请求组件#

如果目标分支的报告可用于比较，SAST 结果会显示在合并请求组件区域。 合并请求组件显示以下内容：

• 由该 MR 引入的新的 SAST 发现。
• 由该 MR 解决的现有发现。

只要有高级漏洞跟踪功能可用，就会使用它来比较结果。

合并请求变更视图#

SAST 结果会显示在合并请求 变更 视图中。包含 SAST 问题的行会在行号旁用一个符号标记。选择该符号可查看问题列表，然后选择一个问题查看其详细信息。

优化#

要根据你的需求优化 SAST，你可以：

• 禁用规则。
• 排除文件或路径免于扫描。

禁用规则#

先决条件：

• 在项目中具有开发者、维护者或所有者角色。

要禁用一条规则，例如因为它产生太多误报：

1. 在顶部栏中，选择 搜索或跳转到 并找到你的项目。

2. 如果项目根目录下还没有，创建一个 .gitlab/sast-ruleset.toml 文件。

3. 在漏洞的详细信息中，找到触发该发现的规则 ID。

4. 使用规则 ID 来禁用该规则。例如，要禁用 gosec.G107-1，请在 .gitlab/sast-ruleset.toml 中添加以下内容：

   toml
   1[semgrep]
   2  [[semgrep.ruleset]]
   3    disable = true
   4    [semgrep.ruleset.identifier]
   5      type = "semgrep_id"
   6      value = "gosec.G107-1"

有关定制规则集的更多详细信息，请参阅定制规则集。

排除文件或路径免于扫描#

先决条件：

• 在项目中具有开发者、维护者或所有者角色。

要排除文件或路径免于扫描，例如测试或临时代码，请设置 SAST_EXCLUDED_PATHS 变量。 例如，要跳过 rule-template-injection.go，请将以下内容添加到你的 .gitlab-ci.yml：

yaml
variables:
  SAST_EXCLUDED_PATHS: "rule-template-injection.go"

有关配置选项的更多信息，请参阅可用的 CI/CD 变量。

推广#

在确信单个项目的 SAST 结果后，你可以将其实现扩展到其他项目：

• 使用强制执行扫描跨群组应用 SAST 设置。
• 通过指定远程配置文件来共享和复用一个中心规则集。
• 如果你有独特的需求，SAST 可以在离线环境或 SELinux 限制下运行。

支持的语言和框架#

极狐GitLab SAST 支持扫描以下语言和框架。

可用的扫描选项取决于极狐GitLab 版本：

• 在旗舰版中，极狐GitLab 高级 SAST 能提供更准确的结果。对于它支持的语言，你应该使用它。
• 在所有版本中，你都可以使用基于开源扫描器的极狐GitLab 提供的分析器来扫描你的代码。

有关 SAST 语言支持计划的更多信息，请参见类别方向页面。

完全支持的语言#

以下语言同时受极狐GitLab 高级 SAST（旗舰版）和标准分析器（所有版本）支持：

脚注：

1. 极狐GitLab 高级 SAST - 仅限旗舰版。
2. 所有版本。除非另有说明，否则使用 GitLab-managed 规则的 Semgrep 分析器。
3. 包括 Java Server Pages (JSP) 和 Android。
4. 包括 Node.js 和 React。
5. 包括 Ruby on Rails。
6. YAML 支持仅限于以下文件模式：
   • application*.yml
   • application*.yaml
   • bootstrap*.yml
   • bootstrap*.yaml

仅支持标准分析器的语言#

以下语言由标准分析器（所有版本）支持，但不受极狐GitLab 高级 SAST 支持：

脚注：

1. 所有版本。除非另有说明，否则使用 GitLab-managed 规则的 Semgrep 分析器。
2. 引用的史诗提议为这些语言提供极狐GitLab 高级 SAST 支持。
3. 使用 find-sec-bugs 插件的 SpotBugs。支持 Gradle、Maven 和 SBT。它也可以与变体一起使用， 如 Gradle wrapper、Grails 和 Maven wrapper。但是，SpotBugs 在针对基于 Ant 的项目时存在 局限性。你应该将极狐GitLab 高级 SAST 或基于 Semgrep 的分析器用于基于 Ant 的 Java 或 Scala 项目。
4. 包括 Android。

SAST CI/CD 模板还包含一个分析器作业，可以扫描 Kubernetes 清单和 Helm chart；此作业默认关闭。 参见启用 Kubesec 分析器 或考虑改用 IaC 扫描，它支持更多平台。

要了解不再受支持的 SAST 分析器，请参阅已达到支持终止期的分析器。

高级漏洞跟踪#

源代码是易变的；随着开发者进行更改，源代码可能在同一文件内或文件之间移动。安全分析器可能已经报告了正在漏洞报告中跟踪的漏洞。这些漏洞与特定的有问题的代码片段相关联，以便被找到并修复。如果代码片段在移动时不能被可靠地跟踪，漏洞管理会变得更加困难，因为同一个漏洞可能被再次报告。

极狐GitLab SAST 使用一种高级漏洞跟踪算法，以便更准确地识别当同一个漏洞由于重构或不相关更改而在同一文件内移动时的情况。

对高级漏洞跟踪的支持取决于所使用的语言和分析器。

受极狐GitLab 高级 SAST 分析器和基于 Semgrep 的分析器共同支持的语言：

• C
• C++
• C#
• Go
• Java
• JavaScript
• Python

仅受基于 Semgrep 的分析器支持的语言：

• PHP
• Ruby

对更多语言和分析器的支持在 史诗 5144 中进行跟踪。

如需更多信息，请参见机密项目 https://gitlab.com/gitlab-org/security-products/post-analyzers/tracking-calculator。此项目的内容仅对极狐GitLab 团队成员可用。

自动漏洞解决#

为了帮助你专注于仍然相关的漏洞，极狐GitLab SAST 会在以下情况下自动解决漏洞：

• 你禁用预定义规则。
• 规则从默认规则集中移除。

自动解决仅适用于来自基于 Semgrep 的分析器的发现。 漏洞管理系统会在自动解决的漏洞上留下评论，以便你仍然保留该漏洞的历史记录。

如果你之后重新启用该规则，这些发现将重新开放以供分类。

支持的发行版#

默认扫描器镜像基于 Alpine 基础镜像构建，以减小体积并提高可维护性。

启用 FIPS 的镜像#

极狐GitLab 提供了一个基于 Red Hat UBI 基础镜像的镜像版本，该版本使用经过 FIPS 140 验证的加密模块。要使用启用 FIPS 的镜像，你可以：

• 将 SAST_IMAGE_SUFFIX 设置为 -fips。
• 在默认镜像名称后添加 -fips 扩展名。

例如：

yaml
variables:
  SAST_IMAGE_SUFFIX: '-fips'

include:
  - template: Jobs/SAST.gitlab-ci.yml

符合 FIPS 标准的镜像仅适用于极狐GitLab Advanced SAST 和基于 Semgrep 的分析器。

下载 SAST 报告#

先决条件：

• 项目的开发者、维护者或所有者角色。

每个 SAST 分析器都会将 JSON 报告作为作业产物输出。该文件包含所有检测到的漏洞的详细信息。你可以下载该文件，以便在极狐GitLab 之外进行处理。

更多信息，请参见：

• SAST 报告文件模式
• 示例 SAST 报告文件

配置#

极狐GitLab SAST 设计为使用其默认配置。但是，你可以更改配置变量或自定义检测规则以满足你的需求。

稳定版与最新版 SAST 模板#

SAST 提供了一个stable 模板，默认用于生产环境，以及一个latest 模板，用于测试前沿功能。有关差异以及何时使用每个模板的详细信息，请参见模板版本。

覆盖 SAST 作业#

当你想要自定义诸如 variables、dependencies 和 rules 等属性时，可以覆盖 SAST 作业。

先决条件：

• 项目的开发者、维护者或所有者角色。

要覆盖作业定义：

• 声明一个与要覆盖的 SAST 作业同名的作业。

  将此新作业放在模板包含之后，并在其下指定任何额外的键。

在以下示例中，为 spotbugs 分析器启用了 CI/CD 变量 FAIL_NEVER：

yaml
1include:
2  - template: Jobs/SAST.gitlab-ci.yml
3
4spotbugs-sast:
5  variables:
6    FAIL_NEVER: 1

固定分析器镜像版本#

当你想要在流水线中使用特定的分析器镜像版本时，可以固定镜像版本。极狐GitLab 管理的 CI/CD 模板指定了一个主要版本，并自动拉取该主要版本中的最新分析器版本。在某些情况下，你可能需要使用特定版本。例如，你可能需要避免后续版本中的回归。

你可以将标签设置为以下选项之一：

• 主要版本，例如 3。你的流水线将使用此主要版本内发布的任何次要或补丁更新。
• 次要版本，例如 3.7。你的流水线将使用此次要版本内发布的任何补丁更新。
• 补丁版本，例如 3.7.0。你的流水线不会接收任何更新。

仅在特定作业中设置此变量。如果你在顶层设置它，你设置的版本将用于所有 SAST 分析器。

先决条件：

• 项目的开发者、维护者或所有者角色。

要将分析器镜像固定到特定版本：

• 在项目的 .gitlab-ci.yml 文件中设置 SAST_ANALYZER_IMAGE_TAG CI/CD 变量。此 CI/CD 变量必须在你包含 SAST.gitlab-ci.yml 模板之后列出。

在以下示例中，设置了 semgrep 分析器的特定次要版本和 brakeman 分析器的特定补丁版本：

yaml
1include:
2  - template: Jobs/SAST.gitlab-ci.yml
3
4semgrep-sast:
5  variables:
6    SAST_ANALYZER_IMAGE_TAG: "3.7"
7
8brakeman-sast:
9  variables:
10    SAST_ANALYZER_IMAGE_TAG: "3.1.1"

使用 CI/CD 变量为私有仓库传递凭据#

一些分析器需要下载项目的依赖项才能执行分析。反过来，这些依赖项可能位于私有 Git 仓库中，因此需要用户名和密码等凭据才能下载。根据分析器的不同，可以通过使用自定义 CI/CD 变量向其提供此类凭据。

使用 CI/CD 变量向私有 Maven 仓库传递用户名和密码#

如果你的私有 Maven 仓库需要登录凭据，你可以使用 MAVEN_CLI_OPTS CI/CD 变量。

更多信息，请参见如何使用私有 Maven 仓库。

启用 Kubesec 分析器#

先决条件：

• 项目的开发者、维护者或所有者角色。

你需要将 SCAN_KUBERNETES_MANIFESTS 设置为 "true" 以启用 Kubesec 分析器。在 .gitlab-ci.yml 中，定义：

yaml
include:
  - template: Jobs/SAST.gitlab-ci.yml

variables:
  SCAN_KUBERNETES_MANIFESTS: "true"

使用基于 Semgrep 的分析器扫描其他语言#

你可以自定义基于 Semgrep 的 SAST 分析器，以扫描极狐GitLab 管理规则集不支持的语言。但是，由于极狐GitLab 不提供这些其他语言的规则集，你必须替换或添加到默认规则以覆盖它们。你还必须修改 semgrep-sast CI/CD 作业的 rules，以便在修改相关文件时运行该作业。

扫描 Rust 应用程序#

先决条件：

• 项目的开发者、维护者或所有者角色。

要扫描 Rust 应用程序，请完成以下步骤：

1. 为 Rust 提供自定义规则集。在仓库根目录的 .gitlab/ 目录中创建一个名为 sast-ruleset.toml 的文件。

   以下示例使用 Semgrep 注册表中 Rust 的默认规则集：

   toml
   1[semgrep]
   2  description = "Semgrep 的 Rust 规则集"
   3  targetdir = "/sgrules"
   4  timeout = 60
   5
   6  [[semgrep.passthrough]]
   7    type  = "url"
   8    value = "https://semgrep.dev/c/p/rust"
   9    target = "rust.yml"

   更多详细信息，请参见替换或添加到预定义规则。

2. 覆盖 semgrep-sast 作业以添加检测 Rust (.rs) 文件的规则。

   在 .gitlab-ci.yml 文件中定义以下内容：

   yaml
   1include:
   2  - template: Jobs/SAST.gitlab-ci.yml
   3
   4semgrep-sast:
   5  rules:
   6    - if: $CI_COMMIT_BRANCH
   7      exists:
   8        - '**/*.rs'
   9        # 包含你需要从 semgrep-sast 模板扫描的任何其他文件扩展名：Jobs/SAST.gitlab-ci.yml

SpotBugs 分析器的 JDK21 支持#

SpotBugs 分析器的版本 6 添加了对 JDK21 的支持，并移除了 JDK11。默认版本仍为 5，如议题 517169 中所述。

要使用版本 6，请固定分析器版本。有关详细信息，请参见固定分析器镜像版本。

yaml
spotbugs-sast:
  variables:
    SAST_ANALYZER_IMAGE_TAG: "6"

在 SpotBugs 分析器中使用预编译#

基于 SpotBugs 的分析器扫描 Groovy 项目的编译字节码。默认情况下，它会自动尝试获取依赖项并编译你的代码，以便进行扫描。

如果出现以下任一情况，自动编译可能会失败：

• 你的项目需要自定义构建配置。
• 你使用的语言版本未内置到分析器中。

要解决这些问题，请跳过分析器的编译步骤，而是直接提供流水线中较早阶段的产物。此策略称为预编译。

共享预编译产物#

先决条件：

• 项目的开发者、维护者或所有者角色。

要共享预编译产物，请对项目的 .gitlab-ci.yml 文件进行以下更改：

1. 使用编译作业（通常命名为 build）编译你的项目，并通过使用 CI/CD 的 artifacts: paths 变量将编译输出存储为 作业产物。

   • 对于 Maven 项目，输出文件夹通常是 target 目录。
   • 对于 Gradle 项目，通常是 build 目录。
   • 如果你的项目使用自定义输出位置，请相应地设置产物路径。

2. 通过在 spotbugs-sast 作业中设置 COMPILE: "false" CI/CD 变量来禁用自动编译。

3. 通过设置 dependencies 关键字确保 spotbugs-sast 作业依赖于编译作业。这允许 spotbugs-sast 作业下载并使用编译作业中创建的产物。

以下示例预编译了一个 Gradle 项目，并将编译后的字节码提供给分析器：

yaml
1stages:
2  - build
3  - test
4
5include:
6  - template: Jobs/SAST.gitlab-ci.yml
7
8build:
9  image: gradle:7.6-jdk8
10  stage: build
11  script:
12    - gradle build
13  artifacts:
14    paths:
15      - build/
16
17spotbugs-sast:
18  dependencies:
19    - build
20  variables:
21    COMPILE: "false"
22    SECURE_LOG_LEVEL: debug

指定依赖项（仅限 Maven）#

先决条件：

• 项目的开发者、维护者或所有者角色。

如果你的项目需要分析器识别外部依赖项，并且你正在使用 Maven，则可以使用 MAVEN_REPO_PATH 变量指定本地仓库的位置。

指定依赖项仅支持基于 Maven 的项目。其他构建工具（例如 Gradle）没有用于指定依赖项的等效机制。在这种情况下，请确保你的编译产物包含所有必要的依赖项。

要指定 Maven 依赖项，请对项目的 .gitlab-ci.yml 文件进行以下更改：

1. 将 MAVEN_REPO_PATH 变量设置为指向你的本地 Maven 仓库。
2. 确保你的构建作业在该路径创建仓库（例如，通过运行 mvn package -Dmaven.repo.local=./.m2/repository）。
3. 配置 spotbugs-sast 作业以依赖于你的构建作业并禁用编译。

以下示例预编译了一个 Maven 项目，并将编译后的字节码以及依赖项提供给分析器：

yaml
1stages:
2  - build
3  - test
4
5include:
6  - template: Jobs/SAST.gitlab-ci.yml
7
8build:
9  image: maven:3.6-jdk-8-slim
10  stage: build
11  script:
12    - mvn package -Dmaven.repo.local=./.m2/repository
13  artifacts:
14    paths:
15      - .m2/
16      - target/
17
18spotbugs-sast:
19  dependencies:
20    - build
21  variables:
22    MAVEN_REPO_PATH: $CI_PROJECT_DIR/.m2/repository
23    COMPILE: "false"
24    SECURE_LOG_LEVEL: debug

分析器现在在扫描过程中会识别你项目的依赖项。

可用的 CI/CD 变量#

SAST 可以使用 .gitlab-ci.yml 中的 variables 参数进行配置。

当使用极狐GitLab SAST 模板时，所有标准 SAST 配置 CI/CD 变量和自定义变量都会传播到底层 SAST 分析器镜像。

以下示例包含 SAST 模板，以在所有作业中将 SEARCH_MAX_DEPTH 变量覆盖为 10。模板在流水线配置之前进行评估，因此最后提及的变量优先。

yaml
include:
  - template: Jobs/SAST.gitlab-ci.yml

variables:
  SEARCH_MAX_DEPTH: 10

自定义证书颁发机构#

以下分析器版本中引入了对自定义证书颁发机构 (CA) 的支持。

使用自定义证书颁发机构#

先决条件：

• 项目的维护者或开发者角色。

• X.509 PEM 公钥证书的文本表示。

  你可以通过以下任一方法提供证书：

  • 直接在项目的 .gitlab-ci.yml 文件中添加证书。
  • 创建一个提供证书路径的 file CI/CD 变量。
  • 在 UI 中设置一个自定义变量，其中包含证书的文本表示。

要信任自定义 CA 证书：

• 将 ADDITIONAL_CA_CERT_BUNDLE 变量设置为你要在 SAST 环境中信任的 CA 证书包。

例如，要在项目的 .gitlab-ci.yml 文件中配置此值，请使用以下内容：

yaml
1variables:
2  ADDITIONAL_CA_CERT_BUNDLE: |
3      -----BEGIN CERTIFICATE-----
4      MIIGqTCCBJGgAwIBAgIQI7AVxxVwg2kch4d56XNdDjANBgkqhkiG9w0BAQsFADCB
5      ...
6      jWgmPqF3vUbZE0EyScetPJquRFRKIesyJuBFMAs=
7      -----END CERTIFICATE-----

Docker 镜像#

以下是与 Docker 镜像相关的 CI/CD 变量。

漏洞过滤器#

SAST 可以配置为根据文件路径和搜索深度排除代码。以下 CI/CD 变量控制扫描哪些文件以及分析器搜索代码库的彻底程度。

plaintext
1registry.jihulab.com/security-products/gitlab-advanced-sast:2
2registry.jihulab.com/security-products/kubesec:6
3registry.jihulab.com/security-products/pmd-apex:6
4registry.jihulab.com/security-products/semgrep:6
5registry.jihulab.com/security-products/sobelow:6
6registry.jihulab.com/security-products/spotbugs:5

yaml
variables:
  SECURE_ANALYZERS_PREFIX: "localhost:5000/analyzers"