HummerRisk 是开源的云原生安全平台,以非侵入的方式解决云原生环境的安全和治理问题。核心能力包括混合云的安全治理和云原生安全检测。
本文将介绍HummerRisk中「源码检测模块」的功能,包括如何配置项目源码,以及使用源码检测规则进行安全检测。通过对源码依赖的扫描,发现项目中存在的漏洞。
工作流程
项目源码配置
- 源码检测是一个项目软件安全检测的一部分,所以需要选择项目和版本信息。
- 目前绑定仓库支持两种类型:GitHub 和 GitLab 。
- Token 的获取:首先私有仓库需要填入Token,公有仓库无需填写Token。
- 首先需要把源代码仓库中的项目绑定进来,点击[创建项目],在弹出窗口中填写相关信息。
- 待检测项可以是项目的分支 Branch、标签 Tag 或项目提交标识 Commit(只识别一项,如果都填写,优先 Branch)。
源码需信息:
Gtihub Token 的获取
- 登录你的帐号,登录后点击右上角你的头像的Settings.
- 选择左侧菜单的“Developer settings”一项
- 再选择“Personal access tokens”
- 点击“Generate a personal access token”
- 设置 token 名字勾选权限 。在 Note 中随便填一个描述名称,下面的复选框是你这个token需要的权限.之后点击生成Token按钮。
- 复制token值
- 下面这个就是你的token了,可以直接复制使用。(记住这个token值 ,此值只显示一次)
GitLab Token 获取
- 登录您的 GitLab 账号,点击头像进入【Settings】
- 在左侧栏中选定【Access Tokens】
- 再在右边输入名字,勾选【Scopes】下的所有选项,最后点击【Create Personal access token】。
- Token 生成后,请立即妥善保存。离开此页面后,您将无法在 GitLab 上查询到您刚刚获取到的 Token!
执行检测
- 项目源码列表中会显示已绑定的项目,验证成功可以正常访问的状态会显示为 [有效]。
- 点击 [执行检测] 按钮,可以对项目执行检测任务。
源码检测结果
1. 源码检测结果列表会显示出所有的检测任务。
2. 统计列中的数字表示漏洞数量,点击该数字可以打开和该项目相关的漏洞列表
3. 点击源码检测结果列表中状态列中的按钮,可以打开检测的详细日志页面,在这里可以看到检测的详细内容。
4. 源码检测的漏洞和SBOM数据可以通过SBOM管理统一查看。
源码检测历史记录
查看到所有检测历史记录,查看过往的执行情况。
通过检测结果 json 对比,可以发现漏洞差异。
检测历史记录
最后我们还可以查看到所有检测历史记录,查看过往的执行情况。
源码检测概览
通过源码检测概览页面,我们可以快速分析出当前管理的源码项目数据,以便于管理员快速发现安全问题。
关于 HummerRisk
HummerRisk 是开源的云原生安全平台,以非侵入的方式解决云原生的安全和治理问题。核心能力包括混合云的安全治理和K8S容器云安全检测。
GitHub 地址:https://github.com/HummerRisk/HummerRisk
Gitee 地址:https://gitee.com/hummercloud/HummerRisk
