我在理解如何激活Gitlab CI/CD中的Secrets Detection方面遇到了一些困难。 我从模板创建了一个新的NodeJS Express,然后从“设置> CI/CD”中激活了自动DevOps,并在Auto Devops菜单下选中了“默认使用自动Devops管道”的复选框。之后,我打开了项目文件夹中的app.js文件,并插入了一个看起来像键值对的变量。这是我插入该行代码的部分内容:
...
var app = express();
var key = "api-12321321321321321";
// view engine setup
app.set('views', path.join(__dirname, 'views'));
...
有人可以告诉我如何使流水线报告错误吗?当我第一次尝试时,这种行为也让我感到困惑。
然而,GitLab 是有意为之的。以下是官方文档中的说明:
因此,在免费或高级帐户上,您只需使用此报告程序,但是您将不会看到任何结果,除非您下载 JSON 报告。
此外,并没有提到作业会失败。 这只是我们的期望。
然而,这是有道理的原因,特别是对于 GitLab 的付费版本。在 MR 中,您需要知道代码中是否存在漏洞。然而,并非所有报告都是准确的。因此,您可能会得到所谓的假阳性。或者,报告的问题非常通用,而您的软件并不受影响。
但是,如果您使用的是免费/高级帐户,则此功能几乎是无用的,因为没有人会去手动检查作业。
唯一的解决方法是覆盖secret_detection工作,解析gl-secret-detection-report.json,检查它是否通过或失败,并决定是 PASS 还是 FAIL 该工作。
在GitLab SAST配置工具的基础上,我们正在为安全配置页面添加对秘密检测的支持。
我们相信安全是团队合作的结果,而这个配置工具可以帮助非CI专家更轻松地开始使用GitLab秘密检测。
该工具帮助用户创建合并请求,以启用秘密检测扫描,并利用最佳配置实践,如使用由GitLab管理的SAST.gitlab-ci.yml模板。
配置工具可以在不存在.gitlab-ci.yml文件时创建新文件,或者更新现有的简单GitLab CI文件,使得该工具可以与已经设置了GitLab CI的项目一起使用。
我们已经更新了GitLab秘密检测扫描器,以便能够检测出47种新的广泛使用的应用程序中的“易于识别”的秘密模式。这使得GitLab秘密检测的可检测模式数量超过90种。
如果您是一个SaaS应用程序供应商,并且您的应用程序生成具有易于识别模式的秘密令牌,并且您希望GitLab能够检测到它们,请在此问题的评论中添加您的正则表达式模式和一些无效的示例令牌(链接1),我们将把它们添加到GitLab秘密检测中。
GitLab 16.2(2023年7月)此次更新,为所有版本增加了以下功能:
我们定期发布 GitLab Secret Detection 分析器的更新。在 GitLab 16.2 里程碑中,我们:
@nathanwfish。keywords 优化的规则性能。详细信息请参阅CHANGELOG。
如果您使用 GitLab 管理的 Secret Detection 模板(Secret-Detection.gitlab-ci.yml)并运行 GitLab 16.0 或更高版本,则会自动收到这些更新。
要保持特定版本的任何分析器并防止自动更新,您可以锁定其版本。
有关先前的更改,请参阅最近的 Secret Detection 更新。
GitLab在流水线中设置这个的完整帖子:https://docs.gitlab.com/ee/user/application_security/secret_detection/
编辑:
给定的说明有点不太清楚:
您需要将include标签添加到配置的“根级别”。
示例
stages:
- build
- test
image: node:latest
build:
stage: build
script:
- echo "Building"
- npm install typescript
- yarn run build
test:
stage: test
script:
- echo "Testing"
include:
- template: Security/Secret-Detection.gitlab-ci.yml
秘密检测将在测试阶段运行:管道
