Gitlab 集成 MurphySec 实时代码安全检测

一、功能简介

将墨菲安全代码安全检测工具集成到 GitLab CI 中,可对每一次代码更新实时进行安全漏洞检测,并快速修复这些安全漏洞。

如果您使用过 GitLab CI 请直接按照第 4 步开始操作

集成效果

Gitlab 集成 MurphySec 实时代码安全检测
Gitlab 集成 MurphySec 实时代码安全检测

二、操作步骤

2.1 部署 GitLab Runner

为了使用 GitLab 的 CI/CD 功能,我们需要在一台能够访问到 GitLab 服务的机器上安装 GitLab Runner,GitLab Runner 就像是一个工作机器人,专门负责执行你在 GitLab上定义的各种 CI 任务

  • 在准备安装 GitLab Runner 的机器上,执行以下命令:
curl -L https://packages.gitlab.com/install/repositories/runner/gitlab-runner/script.rpm.sh | sudo bash
yum install gitlab-runner
gitlab-runner start
  • 注册 GitLab Runner,执行以下命令:
gitlab-runner register 
--non-interactive 
--url "<gitlab服务地址>" 
--registration-token "<runner 注册令牌>" 
--executor "shell" 
--description "描述" 
--tag-list "tag标签" 
--run-untagged --locked="false"

2.2 查看 GitLab Runner 令牌

  • 点击管理员选项卡->点击 CI/CD->Runner–>复制注册令牌
Gitlab 集成 MurphySec 实时代码安全检测
Gitlab 集成 MurphySec 实时代码安全检测
Gitlab 集成 MurphySec 实时代码安全检测

2.3 注册 GitLab Runner

  • 在安装了 GitLab Runner 的机器上,执行下面的命令来完成注册(注意需要替换的内容)

2.4 安装墨菲安全 CLI 工具

wget -q https://s.murphysec.com/release/install.sh -O - | /bin/bash

2.5 安装 python 以及依赖

  • 示例为 centos 安装 python3.6
yum install -y python3 wget
pip3 install requests argparse python-gitlab

2.6 创建 GitLab CI 变量

  • 进入项目仓库->设置–>CI/CD–>变量
Gitlab 集成 MurphySec 实时代码安全检测
Gitlab 集成 MurphySec 实时代码安全检测

2.6.1 变量一:墨菲安全访问令牌

变量的键为:MURPHYSEC_TOKEN

变量的值为:通过以下方式获取到的墨菲安全访问令牌

  • 登录墨菲安全官网(https://www.murphysec.com),在设置->访问令牌页面中,点击按钮复制访问令牌
Gitlab 集成 MurphySec 实时代码安全检测

2.6.2 变量二:GitLab 访问令牌

  • 分别添加变量:
  • 变量的键为:MURPHYSEC_TOKEN
  • 变量的值为:通过以下方式获取到的墨菲安全访问令牌
  • GITLAB_URL:gitlab 地址(不指定不会提交 issue)
  • GITLAB_TOKEN:gitlab 当前项目令牌(指定 GITLAB_URL 时配置)

项目页面点击–>设置–>访问令牌

Gitlab 集成 MurphySec 实时代码安全检测

授予 api 权限

Gitlab 集成 MurphySec 实时代码安全检测
  • PROJECT_ID:ci 项目的项目 id(指定 GITLAB_URL 时配置)

项目页面点击设置–>通用

Gitlab 集成 MurphySec 实时代码安全检测
  1. 创建 .gitlab-ci 文件

仓库点击加号–>新建文件

Gitlab 集成 MurphySec 实时代码安全检测
Gitlab 集成 MurphySec 实时代码安全检测
stages:
  - Code Scan
  - Issue
variables:
  MURPHY_TOKEN: $MURPHYSEC_TOKEN
  GITLAB_ROKEN: $GITLAB_TOKEN
  PROJECT_ID: $PROJECT_ID
  GITLAB_URL: $GITLAB_URL
scan:
  stage: Code Scan
  script:
    - murphysec scan . --token $MURPHYSEC_TOKEN --json >scan_results.json
  artifacts:
    paths:
      - scan_results.json
issue:
  stage: Issue
  script:
    - wget https://s.murphysec.com/gitlab_ci.py
    - python3 gitlab_ci.py   --gitlab_url $GITLAB_URL --gitlab_token $GITLAB_TOKEN  --project_id $PROJECT_ID
  dependencies:
    - scan
  1. 查看代码检测结果

进入项目页面点击议题,页面展示了所有风险组件的漏洞概览

Gitlab 集成 MurphySec 实时代码安全检测

点击要查看的漏洞标题可以进入详细信息页面

详细信息包含了漏洞的编号,处置建议,引入路径以及修复方案

点击项目检测报告下方链接可以跳转到 murphysec 官网查看更详细的漏洞信息

Gitlab 集成 MurphySec 实时代码安全检测
(0)
上一篇 2023年8月9日 下午7:22
下一篇 2023年8月9日 下午7:09

相关推荐

  • Java 漏洞扫描工具之 IDE 插件以及强烈修复漏洞解释

    近期有很多同学在找【漏洞扫描工具】,今天来推荐下这款开源组件的漏洞检测工具:使用简单、能力专业、风险展示清晰的 ide 插件“murphysec”。 它可以快速识别项目中使用了哪些存在安全缺陷的开源组件,并帮助一键修复问题。目前支持Java、Javascript、Golang、Python语言的检测,会逐步支持PHP、Ruby以及更多的开发语言。 插件使用的…

    2023年8月9日
    0
  • 如何生成一份SBOM清单

    引言 随着软件开发的日益复杂和分散,软件供应链安全成为了一个重要的挑战。软件供应链指的是从源代码到最终产品的整个生命周期中涉及的所有环节,包括开发、构建、测试、部署和维护等。软件供应链中可能存在各种各样的组件和依赖项,如开源软件、第三方库、框架、工具等。这些组件和依赖项可能来自不同的来源,具有不同的许可证,存在不同的漏洞和风险。如果不对这些组件和依赖项进行有…

    2023年8月9日
    0
  • GitHub集成 MurphySec 实时代码安全检测

    将MurphySec代码安全检测工具集成到GitHub action中,可对每一次代码更新实时进行安全漏洞检测,并快速修复这些安全漏洞。 如果您使用过GitHub Actions 请直接按照第3步开始操作 效果图 未开启请点击Actions启用GitHub Actions 如展示如下图所示表示项目已开启Actions 进入项目页面配置Action权限 点击s…

    2023年8月9日
    0
  • 如何排查软件中的使用的开源组件清单?

    软件中为什么会依赖开源组件? 在软件开发的过程中,我们往往会使用一些第三方或者开源的组件,来提供一些基础的功能或者服务,从而简化开发工作,提高效率和质量。例如,我们可能会使用 Apache Commons、Spring Boot、jQuery 等开源组件来实现一些常见的操作,如字符串处理、Web 开发、DOM 操作等。 使用开源组件的好处是显而易见的,它们可…

    2023年8月9日
    0