0
点赞
收藏
分享

微信扫一扫

HummerRisk 使用教程:源码检测


HummerRisk 使用教程:源码检测_项目源码

HummerRisk 是开源的云原生安全平台,以非侵入的方式解决云原生环境的安全和治理问题。核心能力包括混合云的安全治理和云原生安全检测。

本文将介绍HummerRisk中「源码检测模块」的功能,包括如何配置项目源码,以及使用源码检测规则进行安全检测。通过对源码依赖的扫描,发现项目中存在的漏洞。

工作流程

HummerRisk 使用教程:源码检测_源码安全_02

项目源码配置

  1. 源码检测是一个项目软件安全检测的一部分,所以需要选择项目和版本信息。
  2. 目前绑定仓库支持两种类型:GitHub 和 GitLab 。
  3. Token 的获取:首先私有仓库需要填入Token,公有仓库无需填写Token。
  4. 首先需要把源代码仓库中的项目绑定进来,点击[创建项目],在弹出窗口中填写相关信息。
  5. 待检测项可以是项目的分支 Branch、标签 Tag 或项目提交标识 Commit(只识别一项,如果都填写,优先 Branch)。

HummerRisk 使用教程:源码检测_源码安全_03

源码需信息:

HummerRisk 使用教程:源码检测_源码安全_04

Gtihub Token 的获取

  1. 登录你的帐号,登录后点击右上角你的头像的Settings.
  2. 选择左侧菜单的“Developer settings”一项
  3. 再选择“Personal access tokens”
  4. 点击“Generate a personal access token”
  5. 设置 token 名字勾选权限 。在 Note 中随便填一个描述名称,下面的复选框是你这个token需要的权限.之后点击生成Token按钮。
  6. 复制token值
  7. 下面这个就是你的token了,可以直接复制使用。(记住这个token值 ,此值只显示一次)

HummerRisk 使用教程:源码检测_源码安全_05

GitLab Token 获取

  • 登录您的 GitLab 账号,点击头像进入【Settings】
  • 在左侧栏中选定【Access Tokens】
  • 再在右边输入名字,勾选【Scopes】下的所有选项,最后点击【Create Personal access token】。
  • Token 生成后,请立即妥善保存。离开此页面后,您将无法在 GitLab 上查询到您刚刚获取到的 Token!

执行检测

  • 项目源码列表中会显示已绑定的项目,验证成功可以正常访问的状态会显示为 [有效]。
  • 点击 [执行检测] 按钮,可以对项目执行检测任务。

HummerRisk 使用教程:源码检测_项目源码_06

源码检测结果

1. 源码检测结果列表会显示出所有的检测任务。

HummerRisk 使用教程:源码检测_源码安全_07

2. 统计列中的数字表示漏洞数量,点击该数字可以打开和该项目相关的漏洞列表

HummerRisk 使用教程:源码检测_源码安全_08

3. 点击源码检测结果列表中状态列中的按钮,可以打开检测的详细日志页面,在这里可以看到检测的详细内容。

HummerRisk 使用教程:源码检测_源码安全_09

4. 源码检测的漏洞和SBOM数据可以通过SBOM管理统一查看。

HummerRisk 使用教程:源码检测_源码安全_10

源码检测历史记录

查看到所有检测历史记录,查看过往的执行情况。

HummerRisk 使用教程:源码检测_项目源码_11

通过检测结果 json 对比,可以发现漏洞差异。

HummerRisk 使用教程:源码检测_项目源码_12

检测历史记录

最后我们还可以查看到所有检测历史记录,查看过往的执行情况。

HummerRisk 使用教程:源码检测_项目源码_13

源码检测概览

通过源码检测概览页面,我们可以快速分析出当前管理的源码项目数据,以便于管理员快速发现安全问题。

HummerRisk 使用教程:源码检测_源码安全_14

关于 HummerRisk

HummerRisk 是开源的云原生安全平台,以非侵入的方式解决云原生的安全和治理问题。核心能力包括混合云的安全治理和K8S容器云安全检测。

GitHub 地址:https://github.com/HummerRisk/HummerRisk

Gitee 地址:https://gitee.com/hummercloud/HummerRisk

HummerRisk 使用教程:源码检测_项目源码_15

举报

相关推荐

0 条评论