来自 安全 2021-10-11 12:23 的文章

国内高防cdn_宝塔免备案_3天试用

国内高防cdn_宝塔免备案_3天试用

应用程序安全测试(AST)的自动化和集成对于构建一个真正的DevSecOps程序至关重要。自动化是最简单的部分。在管道中调用安全扫描程序的restapi或命令行接口,您就可以获得自动扫描。关键,也是更棘手的部分,是整合。我的意思是希望能够将安全扫描器的结果集成到其CI/CD工具中,以便在不离开CI/CD生态系统的情况下进行安全评估。今天宣布,我们很高兴地与大家分享cxsat、CxSCA和CxCodebashing现在通过CxFlow:Checkmarx的扫描和结果编排应用程序无缝集成在GitLab的生态系统中。下面是将Checkmarx安全性集成到GitLab的用户界面的高级概述。固定的GitLab的用户,无论是软件开发人员、DevOps还是AppSec工程师,都希望在GitLab中尽可能多地使用应用程序安全扫描程序的结果。GitLab已经是一个完整的DevOps平台,从管理->到规划->到创建->再到发布,自建高防cdn,因此GitLab用户希望直接在GitLab中拥有安全性是常识。GitLab用户可以在三个不同的集成点使用Checkmarx安全相关的漏洞结果:合并请求概述GitLab问题安全仪表板(用于GitLab Gold/Ultimate tier或公共项目)每个组织,甚至组织内的团队,都希望在SDLC的不同点运行安全扫描程序,但是根据Checkmarx的最佳实践,建议在合并请求阶段进行扫描。在合并请求阶段完成安全扫描后,可以使用扫描结果执行评估,从而阻止合并,或者创建GitLab问题。但是,应该消耗什么样的结果数据呢?Checkmarx提供:CxSAST和CxSCA调查结果的高层总结源代码中从源到接收器的数据流已识别的特定漏洞的简短摘要链接到即时培训(CxCodebashing)和在线资源以进行修复链接到Checkmarx平台以获得更全面的结果CxFlow–发动机罩下Checkmarx维护了一个名为CxFlow的spring引导应用程序,它充当扫描和结果编排工具来自动化安全扫描并将结果集成到GitLab等CI/CD工具中。一些关键特性和功能包括:扫描启动–CLI或Webhook事件可以用两种不同的方式配置CxFlow:从命令行界面使用CxFlow,ddos防御设备怎么部署,或者让CxFlow充当服务器并监听Webhook事件。一旦触发或接收到事件,Checkmarx扫描将自动启动。合并请求,甚至提交源代码,都会触发GitLab的CI/CD中的现有管道,ddos防御结果,并通过CxFlow启动扫描;现有管道只需进行编辑,以包含将调用CxFlow的阶段。扫描启动将创建一个不存在的新项目,或者更新当前项目。成果管理至于使用结果,扫描结果是基于文件的(csv、json或xml),因此很容易导入缺陷跟踪系统或仪表板。CxFlow还驱动一个结果反馈循环,服务器怎么弄ddos防御,消除了手动干预(打开甚至关闭缺陷)。您始终可以筛选基于任何筛选条件创建的结果。结果很容易消费,在某种程度上开发人员想消费,最重要的是,可操作。缺陷跟踪将同一漏洞类型的问题合并到同一个文件中,而不是多个问题,它只是一个问题。一旦修复了对该问题的漏洞类型的所有引用,票据将自动关闭。您可以基于策略-严重性/CWE/漏洞类型或状态(紧急/已确认)。CxSAST和CxSCA结果也支持缺陷跟踪。反馈渠道它不仅支持GitLab安全仪表板和GitLab问题,还支持Jira、Email、Service Now和Rally。方便使用AST服务开发团队可以轻松地快速扫描项目。配置和管理生成时没有开销。大规模轻松扫描配置您可以快速自动扫描多个存储库。同样,在配置和管理多个回购的构建时没有开销。使用开发人员的通用工具集实现自动化在这种情况下,GitLab。你想把问题的细节告诉那些必须解决的人——开发人员。基于GitLab活动的驱动器安全测试。将问题发布到现有积压。让开发人员留在GitLab中。使用Marx自动化功能消除不必要的自动化任务腾出时间专注于重要的事情。尽量向左移动。不断扫描最新的代码。取代IDE中的扫描需求。GitLab/Checkmarx工作流下面是带有GitLab的CI/CD的Checkmarx工作流的可视化图片。现在让我们更详细地描述一下这个流程:设置变量执行Checkmarx身份验证和定义CxFlow读取的Checkmarx扫描设置需要变量。这可以按项目或按"组"设置。GitLab有一个很棒的特性,可以将文件作为变量。我们利用这个特性,并将CxFlow的yaml配置文件作为变量。定义阶段根据GitLab最佳实践,应用程序安全性测试应该在管道的"测试"阶段进行。在管道的测试阶段,如何配置nginx才能防御cc,GitLab将拉出存储CxFlow CLI的Checkmarx docker容器。然后,应该根据config file变量中定义的设置调用CxFlow CLI来启动扫描。CxFlow CLI启动扫描CxFlow接收带有Checkmarx项目设置和GitLab存储库详细信息的请求。CxFlow对Checkmarx服务器执行身份验证,然后启动扫描。它将等待扫描完成Checkmarx执行SAST和SCA扫描CxFlow解析结果并更新GitLabCxFlow等待扫描完成,解析结果并更新安全仪表板、GitLab问题、合并请求讨论,或者全部三个。如果问题已修复,它将自动关闭它。有关完整的集成步骤,请访问我们的https://checkmarx.com/gitlab。应用程序安全测试CxFlowGitLabIntegrationSoftware Developers生物最新帖子詹姆斯·布罗佐斯James是Checkmarx的高级解决方案工程师,他将15年的网络协议和核心开发经验带到了他的岗位上。他特别热衷于设计自动化解决方案,这些解决方案能够有效地推动DevOps组织的安全措施,帮助他们实现DevSecOps目标。在业余时间,詹姆斯志愿者指导旧金山的计算机科学高中学生,管理Checkmarx用户组,并参加物联网黑客竞赛詹姆斯·布罗佐斯的最新帖子