问题标签 [devsecops]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
devsecops - 了解 Azure DevSecOps 中使用的各种工具
我正在寻找可以在 Azure DevSecOps 中使用 Devops 管道的各种工具。因此,例如对于安全扫描的每个阶段或可以使用的工具,请参考我的图表。SCA - 软件组合分析可以使用 Whitesource 之类的工具,但还有什么?SAST - 哪些工具?工件扫描 - 什么工具 DAST - 扫描工具 还有什么?我在图中缺少什么?感谢任何回应以增强我的理解。
我确实检查了这样的各种链接 - https://www.microsoft.com/en-us/securityengineering/devsecops 但它们都没有为我提供全面的选项列表或分步详细信息,以了解可以在不同阶段使用哪些工具的 DevSecOPS。
security - 如何从管道中的 truffleHog 扫描中排除单个秘密?
例如:我有一个mycode.py包含 2 个秘密的文件
我想在 truffleHog 扫描中忽略 myfakesecret 但不是 MyOriginalSecret。
如果我使用 --exclude_paths exclude-patterns.txtwhere exclude-patterns.txtcontainsmycode.py那么松露猪扫描将忽略这两个秘密。
我可以指定一个秘密哈希或名称或任何其他方式来排除秘密不完整的文件,以便它应该忽略特定的秘密吗?
docker - 如何运行 ZAP Scan 来扫描另一个容器
我是 DevSecOps 的新手。最近我尝试在 Gitlab CICD 管道中实现 DAST,但不知何故 ZAP 无法访问主机。
首先,这是我的gitlab-ce.yml
我测试了yeasy/simple-web:latest注册表,似乎网络服务器运行良好。为了让它继续运行,我分离了构建阶段所示的过程。
但在 Dast 扫描作业中,ZAP 不断出现此错误
进行这种扫描的正确方法是什么?如何解决这个问题,因为我现在在这里呆了将近一个星期。
jenkins - 在 CheckMarx 扫描中排除文件夹
我正在我们的代码存储库中实施 Checkmarx 扫描。我正在使用 Jenkins 和 CheckMarx 插件来完成这项任务。我想从扫描中排除一些文件夹;引用 Jenkins插件文档似乎我所要做的就是在“excludeFolders”字段中添加文件夹名称。但是,这似乎不起作用,或者我没有正确输入值。
我试过'/test','test/','!/test/ /*' 但没有任何作用,并且该文件夹在上传到我们的 CheckMarx 服务器之前仍然被注册和压缩。
以下是我的管道中的内容:
关于如何排除“测试”文件夹的任何建议?
jenkins - 强制所有 Jenkins 管道调用函数?
我在一家定义了数百个 Jenkins 管道的公司工作。
我们有一组扫描,我们希望每个管道都运行(SonarQube、Checkmarx、Blackduck 等)。有没有办法可以编写一个在每个管道结束时自动调用的函数?我不想进入我们数百个 Jenkinsfiles 中的每一个文件并post为每个文件添加一个块......我正在寻找更像是一个在每项工作结束时自动触发的钩子的东西,无需更改所有作业的配置。
我浏览了 Jenkins 文档并查看了已经存在的插件列表,但没有看到任何看起来很有希望的插件。
到目前为止,我想出的唯一可能性是拥有一个每晚运行的管道,在我们的 git 中的每个 repo 上找到每个 Jenkinsfile,并使用Jenkins Pipeline Unit运行测试以验证是否调用了所有预期的函数并发送电子邮件维护者是否遗漏了任何内容。对于我认为相当普遍的需求,这听起来像是付出了很多努力?
security - AzSK 扫描询问用户在管道中的选择
我在 AzSK_SVTs 发布管道中面临以下问题:
它要求用户在管道中进行选择,我们该如何解决?
continuous-integration - 在公共 PR 上运行 Azure Pipeline CI 之前运行安全检查
我有一个公共回购。随机的 GitHub 用户可以自由创建拉取请求,这很棒。
我的 CI 管道在名为 repo 的普通文件中描述pipelines.yml(我们使用 Azure 管道)。
不幸的是,这意味着一个随机的 GitHub 用户能够通过创建一个 PR 来窃取我所有的秘密环境变量,他们在其中编辑pipelines.yml并添加一个 bash 脚本行,例如:
或者运行任意代码,一般来说。正确的?
如何验证恶意 PR 至少不会更改一些关键文件?
inspec - 如何覆盖 DevSec Inspec 基线控制
问题:(如何)是否可以“覆盖”检查控件?(特别是在 DevSec Inspec Baselines 中)?
我不想重写整个检查定义,只是控制文件中的特定控件。
背景:我定期从DevSec 存储库
中
提取当前基线,以跟上当前规范。但我想根据我的需要调整其中的一些“控件”,或者想禁用它们。
是否可以通过更改某些环境变量或通过在 inspec 目录结构中的某处放置具有更高优先级的文件来更改规范?或者我是否必须覆盖/编辑整个“controlfile.rb”规范 - 这将涉及每次控制文件更改时的手动干预并对自动化过程产生反作用。
(我看到了这样的考虑,对于与安全相关的更改,检查控件的每个新更新是明智的)
更新 一个解决方案是下面的答案,只执行特定的控件。我仍然不知道如何排除特定控件(否定正则表达式似乎不起作用)
security - SCC 上的卷挂载是运行 Falco 的要求
是否可以通过删除 scc 上的几个音量值来运行 falco ?例如,仅将 hostpath 作为 falco SCC 的值,因为在环境(OCP 和 k8s)上只允许访问 hostpath。
如我所见,SCC falco yaml 上的值是:
谢谢
security - Quay Clair - 无法在扫描容器图像时获得输出
我是容器安全概念的新手。我想使用 Quay Clair 查找容器映像中的漏洞。
注意:我已经尝试过使用 Anchore Engine 进行容器漏洞扫描(非常简单);但是,想和克莱尔做一个比较。
我的要求是,使用 Clair 扫描本地 docker 环境中可用的 docker 图像。我刚刚尝试了以下 Clair 概念,但无法获得任何输出..有时会出错。
-- 使用 Clair-Scanner CLI
Github 链接 - https://github.com/arminc/clair-scanner
当我使用以下命令运行扫描时出现错误。
或者
收到错误:
有人可以帮我解决这个问题。
我还尝试使用“分析本地图像”CLI;由于克莱尔已弃用它,因此我无法再进一步。
提前致谢!