标签:dem 代码管理 sha blog 模式 自动 ref 注意 持续交付
本场景将指导你基于云效Codeup,1分钟左右即可自动检测出代码里的【源码漏洞】、【依赖包漏洞】、【敏感信息】等安全风险,并为你自动修复。
完成体验,还可领取cherry定制键盘、DDD高手进阶课等丰厚礼品,100%拿奖。
代码安全不用愁!云效Codeup为你守护。
「云效代码管理Codeup」为企业提供免费的代码托管、代码评审、代码扫描、持续集成等功能,不限成员、不限容量、免费用。
选择【导入代码库】-【URL导入】,源码代码库地址请复制:
https://code.aliyun.com/yunxiao-demo-code/detect-master.git
代码库名称,请命名为:
detect-master
否则无法校验活动完成
点击【确定】
点击【安全】菜单,可以看到云效Codeup提供了敏感信息检测、依赖包漏洞检测、源码漏洞检测 三大检测能力。
3个检测,都点击 【立即启用】,要注意的是,依赖包漏洞检测和源码漏洞检测,需要勾选【设置Java检测参数】,如下图所示。
1分钟左右,你即可看到3项检测的结果,如下图所示:
敏感信息检测结果
依赖包漏洞检测结果
源码漏洞检测结果
你也可以在【源文件】、【提交】或【分支】的任何一个页面,看到检测运行结果,如下图所示。
1、在修复前,我们先设置下合入主干的规则。
为了强化合入主干代码的质量,我们不允许直接推送代码到主干,而是通过设置保护分支合入规则,通过代码评审检测后才允许合入主干。
如下图所示,进入代码库,点击【设置】-【分支设置】-【新建保护分支规则】
我们进行如下设置
设置保护分支为 :master
设置允许推送:无
设置允许合并:管理员
开启【要求合并前通过代码评审】,勾选【允许创建者通过】(在真实场景下可严格控制不允许创建者通过自己发起的评审),选择普通评审模式,至少需要1人评审
点击【确定】保存当前保护分支规则。
2、我们来修复漏洞
回到【 安全】页面,点击【依赖包漏洞检测】,查看漏洞详情。注意金色标识的问题,该问题支持自动修复:
点击【金色图标】
点击【创建合并请求自动修复】
合并请求内容以及默认自动生成,点击【确定】
可以看到自动创建出了一个合并请求,同时自动化执行检测已经开始。因为我们前面设置了保护分支,所以合入需要经过你的审核同意。
点击左侧【pom.xml】,查看文件改动,存在风险的依赖包已经从1.2.24升级到1.2.25:
点击【通过】评审
此时已达到合并要求,点击【合并】按钮:
选择第一个合并方式
勾选【合并后自动删除源分支】,点击【提交】
合并完成,该漏洞被自动修复。
回到【源文件】稍等1分钟,可以看到刚才存在的blocker问题已经被自动修复了
除了云效代码管理Codeup外,云效的另一款产品:持续交付流水线Flow也支持丰富的代码检测能力。如下图所示:
云效Codeup支持便捷的对接内置流水线产品 Flow,因此可以基于流水线快速自由地扩展出更多的检测能力,并且可以作为提交代码或合并请求的自动化卡点,将即时检测真实的左移,落地到研发场景中。
如下图,您可以点击【流水线】或者左侧九宫格,前往云效流水线,体验更多检测能力。
标签:dem 代码管理 sha blog 模式 自动 ref 注意 持续交付
原文地址:https://www.cnblogs.com/bainana/p/14812172.html
