极狐 GitLab 依赖扫描:助力开发者管理软件供应链
极狐GitLab 是 GitLab 在中国的发行版,专门面向中国程序员和企业提供企业级一体化 DevOps 平台,用来帮助用户实现需求管理、源代码托管、CI/CD、安全合规,而且所有的操作都是在一个平台上进行,省事省心省钱。可以一键安装极狐GitLab,详情可以参考极狐GitLab 下载安装官网。
GitLab 中文版学习资料
- 驭码CodeRider 官网:https://coderider.gitlab.cn/
- GitLab 中文版官网:https://gitlab.cn
- GitLab 中文文档:https://docs.gitlab.cn
- GitLab 中文下载安装:https://gitlab.cn/install
你知道一个 Java 项目需要多少个依赖吗?你知道一个 Java 项目使用的依赖是否存在漏洞吗?你知道如何查看一个依赖漏洞的相关信息吗?你知道如何修复一个依赖漏洞吗?
项目依赖数量
- 在 Spring Boot 官网项目类型选择 Maven,依赖只选择一个 Spring Web,打包后,解压产物, 在 BOOT-INF\lib 文件夹中,可以发现程序使用了 30 个依赖。
- 作者本人在上个月(2024年2月)刚创建的一个微服务项目, 功能简单(就连数据库功能都没有),暂无业务,打包后,解压产物,依赖去重后,有 144 个, 目前功能仅有(截止到 2024-03-07):
网关功能- OAuth 2.1 授权功能
- OAuth 2 资源功能
- AOP 功能
- 监控 功能
- Swagger 文档
解决方案
本人使用 极狐 GitLab 扫描项目依赖,查看依赖漏洞。
可以轻松帮助我们扫描项目依赖,识别依赖的漏洞,提高项目安全性。
配置
第一步:添加 CI 代码
在极狐GitLab 流水线中添加 4 行代码,提交记录,流水线执行记录, 执行结果如下:
stages:- testinclude:- template: Jobs/Dependency-Scanning.gitlab-ci.yml
第二步:查看扫描结果
第三步:查看漏洞报告
第四步:查看某个漏洞
第五步:仪表盘查看
观察引入依赖的漏洞数量折线图
