Как стать автором
Обновить

Использование сканера уязвимостей в используемых библиотеках Dependency-Check в GitlabCI

Время на прочтение 4 мин
Количество просмотров 11K
Всего голосов 12: ↑12 и ↓0 +12
Комментарии 4

Комментарии 4

Поделитесь пожалуйста конфигом для gitlab-ci.yaml
У меня вот такой простой конфиг не работает:


image: owasp/dependency-check

test:
  script: "--version"

Хочу добаить пару копеек из моего знакомства с продуктом.
Как "сиюминутный" сканер "текущих" уязвимостей во время CI/CD — одного DepCheck вполне хватит.
Проблема возникнет, когда у вас таких проектов Много и они будут Обновляться или Не обновляться с течением времени.


Как раз для Исторической справки и отслеживания новых уязвимостей в запущенном коде, в связку к DepCheck написали DepTrack: https://www.owasp.org/index.php/OWASP_Dependency_Track_Project
Ставится отдельно и настраивается параметрами к DepCheck. Вроде как, умеет сам зеркалировать локальную базу уязвимостей (кэш) и отдавать ее DepCheck по запросу.
Но Первые версии DepTrack у меня не взлетели (ошибки в самом DepTrack были, баг репорты писал), поэтому мы и не допилили его. Но сейчас обещают, что всё исправили и можно пользоваться.
Поддерживает Билль о Материалах и Сводку о необходимом attribution (версии и разношерствность используемых зависимостей)

Можно ли получить ссылку на DepCheck?
Сообщество будет вам благодарно, если вы напишите статью или инструкцию о том что написали выше.

Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории