GitLab 是一个全球知名的一体化 DevOps 平台,很多人都通过私有化部署 GitLab 来进行源代码托管。极狐GitLabhttps://gitlab.cn 是 GitLab 在中国的发行版,专门为中国程序员服务。可以一键式部署极狐GitLab。

更多关于极狐GitLabhttps://gitlab.cn 或者 DevOps 的最佳实践,可以关注文末的极狐GitLab 公众号。

学习极狐GitLab 的相关资料:

  1. 极狐GitLab 官网https://gitlab.cn
  2. 极狐GitLab 官网文档https://docs.gitlab.cn
  3. 极狐GitLab 论坛https://forum.gitlab.cn/
  4. 极狐GitLab 安装配置https://gitlab.cn/install
  5. 极狐GitLab 资源中心https://resources.gitlab.cn

你知道一个 Java 项目需要多少个依赖吗?你知道一个 Java 项目使用的依赖是否存在漏洞吗?你知道如何查看一个依赖漏洞的相关信息吗?你知道如何修复一个依赖漏洞吗?

 

项目依赖数量

 

  1. 在 Spring Boot 官网项目类型选择 Maven,依赖只选择一个 Spring Web,打包后,解压产物, 在 BOOT-INF\lib 文件夹中,可以发现程序使用了 30 个依赖。
  2. 作者本人在上个月(2024年2月)刚创建的一个微服务项目, 功能简单(就连数据库功能都没有),暂无业务,打包后,解压产物,依赖去重后,有 144 个, 目前功能仅有(截止到 2024-03-07):

    1. 网关功能
    2. OAuth 2.1 授权功能
    3. OAuth 2 资源功能
    4. AOP 功能
    5. 监控 功能
    6. Swagger 文档

解决方案

 

本人使用 极狐 GitLab 扫描项目依赖,查看依赖漏洞。

可以轻松帮助我们扫描项目依赖,识别依赖的漏洞,提高项目安全性。

 

配置

 

第一步:添加 CI 代码

 

在极狐GitLab 流水线中添加 4 行代码,提交记录流水线执行记录, 执行结果如下:
 

stages:
  - test

include:
  - template: Jobs/Dependency-Scanning.gitlab-ci.yml

 

 

第二步:查看扫描结果

 

 

 

 

第三步:查看漏洞报告

 

 

 

第四步:查看某个漏洞

 

 

第五步:仪表盘查看

 

观察引入依赖的漏洞数量折线图

 


极狐GitLab
64 声望37 粉丝

极狐(GitLab) 以“核心开放”为原则,面向中国市场,提供开箱即用的开放式一体化安全DevOps平台——极狐GitLab。通过业界领先的优先级管理、安全、风险和合规性功能,实现产品、开发、QA、安全和运维团队间的高效协同...