如何將 Semgrep 整合到 GitLab Pipeline 以進行 SAST 掃描
閱讀時間約 4 分鐘
在 CI/CD Pipeline 中,SAST(Static Application Security Testing)是一種重要的安全檢查步驟,可以幫助開發人員及早發現程式碼中的潛在安全漏洞。Semgrep 是一款功能強大的 SAST 工具,可以掃描程式碼並檢查各種安全問題,例如寫死的密碼、SQL Injection。
本文將介紹如何將 Semgrep 整合到 GitLab Pipeline 以進行 SAST 掃描。
整合步驟
- 在 Semgrep Cloud Platform 建立 Project。
- 建立 Semgrep App Token。(只需要 1 個,讓 GitLab 有權限將掃描結果送到 Semgrep Cloud Platform)
- GitLab CI/CD Pipeline 加入以下 Job:
semgrep:
image: returntocorp/semgrep
stage: test
script: semgrep ci
rules:
- if: $CI_PIPELINE_SOURCE == "web" # allow triggering a scan manually from the gitlab UI
- if: $CI_MERGE_REQUEST_IID # This rule triggers Semgrep if the scan is part of a merge request review process. The $CI_MERGE_REQUEST_IID variable holds the ID of the associated merge request, indicating its involvement.
- if: $CI_COMMIT_BRANCH == $CI_DEFAULT_BRANCH # This rule triggers Semgrep if the scan is run on the default branch (likely master or main). The $CI_COMMIT_BRANCH variable specifies the branch where the commit is being pushed, and comparing it to the $CI_DEFAULT_BRANCH variable checks for alignment.
variables:
SEMGREP_APP_TOKEN: $SEMGREP_APP_TOKEN
# To configure MR comments on gitlab.com, see <https://semgrep.dev/docs/semgrep-cloud-platform/gitlab-mr-comments/#enabling-gitlab-merge-request-comments>
GITLAB_TOKEN: $PAT - 建立 GitLab Access Token,必須要有 api 權限。(Semgrep Cloud Platform 才可以將報告送到 GitLab Merge Request)
- 在 GitLab Pipeline 加上 SEMGREP_APP_TOKEN, PAT 變數。
- 到 Semgrep Cloud Platform | Rules | Policy,將全部的規則的 Mode 都改為 Comment。
- 加上 .semgrepignore,排除不需要掃描的目錄。
# Common large paths
node_modules/
build/
dist/
vendor/
.env/
.venv/
.tox/
*.min.js
.npm/
.yarn/
# Common test paths
test/
tests/
*_test.go
# Semgrep rules folder
.semgrep
# Semgrep-action log folder
.semgrep_logs/
使用心得
將 Semgrep 整合到 GitLab Pipeline 後,可以將 SAST 掃描完全整合到開發工作流程中。在 Merge Request 中,開發人員可以直接看到掃描報告,並根據報告中的資訊及早修正程式碼中的安全漏洞。
以下是使用 Semgrep 的一些心得:
- 整合過程簡單,只需幾個步驟即可完成。
- 掃描速度快,可以快速發現程式碼中的安全漏洞。
- 報告詳細,可以幫助開發人員快速理解安全漏洞的風險。
留言0
查看全部
你可能也想看
Google News 追蹤
今天學習Git Command-Line Syntax [1] 。
Git command的 convention 為:
`git [switches] <command> [<args>]`
而每一個部分的基本解釋是:
- `git` 是 Git 命令的開頭
- `[s
Windows : 下載Git (git-scm.com)並按照指示安裝。
安裝完成後,你可以通過運行以下命令來確認安裝是否成功:
git --version
初次設定GIT
接下來就是按照初次設定git,會需要配置你的用戶名和電子郵件地址,這些信息將被記錄在您提交的每個變更中。
git
本篇文章介紹如何使用Git Bash進行版本控制操作,包括創建repository、查看狀態、歷程以及加入暫存和提交暫存等操作。透過基本的Git指令,您可以更深入地瞭解Git工具的使用方法。
GitLab為程式碼管理倉庫,且從8.0開始提供CI/CD。
安裝
更新套件索引
sudo apt update
安裝postfix
sudo apt install ca-certificates curl openssh-server postfix
切換目錄
cd /t
※ 需要做版本備份時:
git init:初始化此資料夾,由git 開始追蹤版本控制。
git add:將檔案加入到暫存區。
git commit:把暫存區的內容提交到儲存庫。
git status:查看目前所有檔案的狀態。
git log:查看過去所有commit的記錄。
※ 需要做修
※ 簡短說明Git 和 Git Flow 是什麼?如何應用?
Git 是什麼?
Git是一個分散式版本控制軟體,能夠紀錄檔案的狀態變化,以及協調多個開發者之間的工作。它允許團隊成員協作編輯和管理項目的代碼庫,並且能夠追蹤文件的歷史變更、恢復到以前的版本、合併不同版本的代碼,以及解決代碼衝突等。
※ Git(三)
什麼是 staging area?
在 Git 中,staging area是暫存區的意思,也被稱為索引(index)。透過一個git add 指令把檔案從工作目錄移至暫存區。再透過一個git commit 指令把暫存區的內容移至儲存庫。
當多人協作時你要開發個功能,但不
※ 關於Git (二)
請寫下從 Github 上複製一個專案下來,做一次遞交,然後推上去會用到的所有 git 指令。
複製專案(Clone) markdown-here:
git clone https://github.com/adam-p/markdown-here.git
如果在訊息
語法:
grep '^<starting-character>.*<ending-character>$' <file>
grep 指令可以使用特殊字元的組合: 星號 ( * )、( $ ) 和 ( ^ )來過濾搜尋的內容。在我們的範例中,要使用 grep搜尋以特定字元開頭和結尾的內容,例如
GitLab 是一個 DevOps、基於 Web 的免費開源平台 Git 儲存庫,為開發人員提供了所有必要的功能。它是一個用於開發 DevOps 應用程式的一體式平台。 GitLab 允許您執行原始碼管理、監控、安全性和專案規劃任務。
Update system packages:
sudo
今天學習Git Command-Line Syntax [1] 。
Git command的 convention 為:
`git [switches] <command> [<args>]`
而每一個部分的基本解釋是:
- `git` 是 Git 命令的開頭
- `[s
Windows : 下載Git (git-scm.com)並按照指示安裝。
安裝完成後,你可以通過運行以下命令來確認安裝是否成功:
git --version
初次設定GIT
接下來就是按照初次設定git,會需要配置你的用戶名和電子郵件地址,這些信息將被記錄在您提交的每個變更中。
git
本篇文章介紹如何使用Git Bash進行版本控制操作,包括創建repository、查看狀態、歷程以及加入暫存和提交暫存等操作。透過基本的Git指令,您可以更深入地瞭解Git工具的使用方法。
GitLab為程式碼管理倉庫,且從8.0開始提供CI/CD。
安裝
更新套件索引
sudo apt update
安裝postfix
sudo apt install ca-certificates curl openssh-server postfix
切換目錄
cd /t
※ 需要做版本備份時:
git init:初始化此資料夾,由git 開始追蹤版本控制。
git add:將檔案加入到暫存區。
git commit:把暫存區的內容提交到儲存庫。
git status:查看目前所有檔案的狀態。
git log:查看過去所有commit的記錄。
※ 需要做修
※ 簡短說明Git 和 Git Flow 是什麼?如何應用?
Git 是什麼?
Git是一個分散式版本控制軟體,能夠紀錄檔案的狀態變化,以及協調多個開發者之間的工作。它允許團隊成員協作編輯和管理項目的代碼庫,並且能夠追蹤文件的歷史變更、恢復到以前的版本、合併不同版本的代碼,以及解決代碼衝突等。
※ Git(三)
什麼是 staging area?
在 Git 中,staging area是暫存區的意思,也被稱為索引(index)。透過一個git add 指令把檔案從工作目錄移至暫存區。再透過一個git commit 指令把暫存區的內容移至儲存庫。
當多人協作時你要開發個功能,但不
※ 關於Git (二)
請寫下從 Github 上複製一個專案下來,做一次遞交,然後推上去會用到的所有 git 指令。
複製專案(Clone) markdown-here:
git clone https://github.com/adam-p/markdown-here.git
如果在訊息
語法:
grep '^<starting-character>.*<ending-character>$' <file>
grep 指令可以使用特殊字元的組合: 星號 ( * )、( $ ) 和 ( ^ )來過濾搜尋的內容。在我們的範例中,要使用 grep搜尋以特定字元開頭和結尾的內容,例如
GitLab 是一個 DevOps、基於 Web 的免費開源平台 Git 儲存庫,為開發人員提供了所有必要的功能。它是一個用於開發 DevOps 應用程式的一體式平台。 GitLab 允許您執行原始碼管理、監控、安全性和專案規劃任務。
Update system packages:
sudo