问题标签 [devsecops]

我想获取以给定名称开头的作业列表，然后更新作业可以运行的标签节点。我做了以下并没有成功。我在这里缺少的任何输入。

我们想开发一个软件。成千上万的用户可以在那里存储facebook密码，gmail密码和linkedin密码，并且应该加密。密钥应该只与用户而不是在服务器中。我们怎么能做到这一点

我正在使用 trivy 进行 docker 扫描，然后将输出保存到result.json文件中。现在我正在尝试将文件发送到DefectDojo以在那里对其进行可视化，我该怎么做？

尝试在 Azure Devops 发布管道中将 ZAP XML 转换为 NUnit XML 以进行 OWASP ZAP 安全测试，在 Powershell 任务中出现以下错误。请帮忙

我的要求是使用 TFS DevOps 管道进行“Authenticated Scan”，为此我在 TFS 下添加了“OWASP Zed Attack Proxy Scan”扩展并将任务添加到管道中。我还安装了 OWASP 桌面应用程序（2.10.0），管道在网站上的“未经身份验证模式”下工作正常，但我需要进行“经过身份验证的扫描”，以便工具在登录页面后也可以识别错误/漏洞，如何做到这一点？

我正在尝试为 bitbucket 云设置 config.json 以自动更新 bitbucket 云的 npm 存储库中的依赖项。我找到了一个例子，但无法弄清楚两件事：

1. 端点 - 应该去那里（ABC）？- 我们公司的 bitbucket 命名空间链接如下：https ://bitbucket.org/uvxyz/

2. 我可以使用 renovate-bot 在没有 bitbucket 管道的情况下发布 PR 吗？如果是这样，我是否可以通过 config.json mods 进行 renovate 以仅更新特定的 repo 或 repos，或者我将 renovate.json 文件放在需要自动依赖更新的每个 repo 中？

感谢有关后者的任何示例。

我想使用 GitOps 解决方案（例如 Flux）将我的基础架构部署到 kubernetes 集群：

传递秘密信息而不将其保存在 git 中的最佳方法是什么？

Is the api scan included in the full scan for the OWASP ZAP Action Full Scan for Github Actions? I need to know if I need to include a separate scan for APIs, or if its already covered by the full scan.

BeyondTrust Password Safe 和 DevOps Secrets safe 之间的主要区别是什么？因为我的理解是 BeyondTrust Password Safe 可用于保存 DevOps 流程中的代码和工具密码，那么为什么我需要 DevOps Secrets 安全呢？

我需要对 Snyk 和 Sonarcloud/Sonarqube 的特性和功能进行比较，我唯一能找到的是速度比较：

https://snyk.io/blog/sast-tools-speed-comparison-snyk-code-sonarqube-lgtm/

....有谁知道两者之间是否有任何特性和功能的比较？如果是这样，请你告诉我在哪里看？

非常感谢您对此的任何帮助。