【发布时间】:2020-07-24 15:01:21
【问题描述】:
我有一个管道,用于从 git 签出代码、构建工件并将工件发布到 Nexus。
现在,在我部署工件之前,我想扫描它们以查找任何漏洞。我怎样才能实现它。有没有可用的工具。
【问题讨论】:
【发布时间】:2020-07-24 15:01:21
【问题描述】:
您所描述的基本上是使用 Nexus 生命周期和防火墙工具。他们会在项目进入您的存储库管理器时对其进行扫描。
我建议在这里阅读更多关于它们的信息:
请注意,它们都不是免费服务,它们需要许可证。
【讨论】:
-
除了命名上的 FYI 之外,“Nexus”实际上是 Sonatype 的工具套件,尽管 SO 中的标签表明它是存储库管理器(在这里)。但是要解释为什么它们也是“Nexus” =)
Nexus 来晚了。当您同时拥有源代码和二进制文件时,您应该在 Jenkins 中扫描人工制品。应该有教程如何做 Jenkins-Sonar Qube 集成之类的事情。
想象跟随。您已经扫描了一个人工制品并且您看到了漏洞。那你在做什么?您愿意将其从存储库中删除吗?想象一下你会以这种方式产生的问题。开发团队会说,他们没有看到您的扫描结果,因此他们无法对其采取行动,现在将要部署此人工制品...
【讨论】:
-
你是对的,但用例是这样的:我拥有代码,但环境在客户端。即使我使用声纳多维数据集提前扫描,客户仍然希望对其进行扫描。因此,由于客户的政策,在部署工件之前需要扫描。
在 RnD 之后,我找到了一个可能的解决方案。 @joedragons 提供的答案也很有用。我想 jforg xray 也是一个不错的解决方案。
JFrog Xray 是一种持续的安全性和通用工件分析工具,对容器和软件工件的漏洞提供多层分析、许可证合规性和质量保证。深度递归扫描可以深入了解您的组件图,并显示任何问题对您所有软件工件的影响。
【讨论】: