极狐GitLab上的Building风云 - 之Security风云再起 JIHULAB 101

接上一篇《极狐GitLab上的Building风云 - 之Docker风云必胜》内容《Security风云再起》。

小白经过几天已经安奈不住想要去江湖上施展一下拳脚，但总舵主之前说写的武功秘籍里可能有破绽和漏洞，一直不感发布，今天非要找总舵主学习一番，说走就走，去总舵找舵主问问怎么能确定我的武功秘籍里有没有漏洞。

总舵主：小白啊，我这么忙你不知道吗？看你这么好学，那就告诉你吧，咱极狐GitLab也可以帮你审查漏洞，在Security堂口，那里都是搞安全的高手，可以帮你扫描你写的武功秘籍，其中包括静态应用程序安全测试 (SAST)、基础设施即代码 (IaC) 扫描、动态应用程序安全测试 (DAST)、依赖扫描、容器扫描等等安全扫描。

想要启动安全扫描，我们去 Security Configuration 开启，部分功能是高级功能，免费版并不包含在内，需要升级订阅等级，看你是我们的新会员，可以免费体验一个月的高级功能。

• 静态应用程序安全测试 (SAST)：只需要点击 Configure with a merge request 按钮，会创建一个 merge request 请求，他会在 .gitlab-ci.yml 中自动添加一些stages阶段，例如会添加 template: Security/SAST.gitlab-ci.yml，也就是引用 Security/SAST.gitlab-ci.yml 模板，在后续 Pipeline 中讲执行扫描任务，并得到扫描报告，静态扫描只扫描代码，几乎支持常见的语言，并可得出风险等级；这个是非常常用的扫描，建议你们都开启哦。

• 基础设施即代码 (IaC) 扫描：跟配置SAST一样，只需要点按钮，就会自动修改.gitlab-ci.yml，会扫描我们的基础设置配置文件，例如：Dockerfile、Kubernetes等，从而评估出我们容器配置的风险。

• 动态应用程序安全测试 (DAST)：同样可以自动配置，动态扫描就是扫描我们的网站，配置一个我们的网站链接，就会开始扫描我们的网站，所以称之为动态测试，测试之前需要认证网址，因为你不能扫描别人的网站，万一你扫出别人的漏洞加以利用就不好了；这个功能因为要扫描全站，如果网站特别大会非常耗费CI/CD时间，请酌情开启。

• 依赖扫描：同样可以自动配置，他可以自动扫描我们项目中依赖的第三方库是否有公开的漏洞报告，让我们及时的的知道我们依赖的库是否出现漏洞及时升级依赖库版本，这个也建议开启哦。

• 容器扫描：我们构建镜像时依赖的底层镜像可能也会出现漏洞，这个功能可以帮我们扫描出底层镜像的漏洞，开启以后再也不用担心构建的容器是不是不安全了。

• 密钥扫描：我们仓库中有时在提交时会意外的将一些密码、密钥、令牌随代码一起提交，这个功能可以帮我们扫描出仓库中存在的密钥，我们可以及时的的禁用泄漏的密钥。

小白说：Security堂口这么厉害啊，我去试试。有的怎么不让我用啊？

舵主说：有的功能例如动态应用程序安全测试 (DAST)、依赖扫描、容器扫描等高级功能，我们只提供给高级成员使用，你需要付费资助一下订阅我们的高级会员才能使用，但作为新成员可以免费体验一个月的旗舰功能哦。

小白说：我赶紧申请去试试，扫描结果出来了，这么多漏洞啊，我赶紧去修我的武功秘籍了，谢谢总舵主，下次再来找您。

总舵主：哎！咋跑这么快，这小白，我们还有好多技术呢，下次再说吧。