背景描述
针对工程的分析,主要是为了SCA还有工程解剖做准备,因为我想通过工具实现工程的动态分析,以及通过这个工程的能力实现功能透视,包括但不仅限监控、链路层面的快速匹配。 简而言之就是以下几个场景需要长期深耕:
- 针对接口涉及到的监控做全面的摸排,看是否有漏掉的监控接口,帮助技术架构的同学快速梳理服务中暴露的API,后续这个可以基于OpenAPI开放出来,给基础架构的团队使用。
- 针对自动化接口测试的同学,可以通过这个服务快速摸清业务内的接口API,去匹配自己的测试用例,查漏补缺。
- 针对日志审计,可以快速看到有哪些接口被攻击,能够关联到业务内。
- 针对CI/CD,可以通过工程分析,识别出来对应的开发语言,自动关联匹配对应的dockerfile还有发布流程。
- 针对SCA,通过组件分析,可以快速匹配SCA的缺陷管理,识别风险。
- 针对代码漏洞缺陷,可以进行静态分析,识别代码缺陷,并闭环到漏洞管理中。(内循环闭环)
- 针对代码层的泄露、敏感信息、硬编码,可以有效的检测并识别上报到漏洞管理中。(内循环闭环)
- 针对代码层不规范的问题,可以通过工具进行识别,上报到工作台质量分析。(内循环闭环,待开放)
- 关联匹配Sentry或各种链路分析的服务,用API进行匹配服务分析。(内循环闭环,待开放)
使用配置
首先,先创建仓库的账号密码配置,因为得有这个才能进行下一步的分析,后续可用于运维自动化发布,把业务发布到K8S中。
看到下面这个页面就是成功创建了,这里就OK了。
针对GitHub/Gitee,目前我们不支持自动抓取,所以需要您手动新增,将代码仓库应用加到平台里,具体如下图所示:
添加完成会看到工程已经创建成功,然后codescan启动服务,即可实现代码自动化扫描检测,每隔1分钟就会拉一次检测。 完成之后,我们看到代码的语言就识别出来了。
这个功能主要在控制台里访问,并添加,分析是在站点里进行绑定查看。