前往官网
注册/登录

创建团队

登录

帮助中心主页
入门指南
  1. 认识 CODING DevOps
    1. 产品介绍
    2. 使用流程
  2. 创建或加入团队
  3. 新建项目
  4. 开始项目协同
  5. 使用代码仓库
  6. 启动代码扫描
  7. 编译构建
  8. 管理制品
  9. 实施持续部署
  10. 管理测试用例
  11. 管理项目文档
  12. 安全等级说明
  13. 常见问题
项目协同
  1. 产品概述
  2. 选择合适的协作模式
  3. Scrum 敏捷项目管理
    1. 模式介绍
    2. 管理 Backlog
    3. 管理迭代
    4. 管理史诗
    5. 管理需求
    6. 管理任务
    7. 管理缺陷
    8. 故事点
    9. 迭代统计
    10. 总结复盘
  4. 经典项目管理
    1. 模式介绍
    2. 管理需求
    3. 计划
    4. 管理迭代
    5. 管理任务
    6. 管理缺陷
    7. 阻塞关系
    8. 工时统计
    9. 跟踪进度
  5. 事项管理
    1. 导入&导出事项
    2. 自定义事项类型
    3. 自定义事项属性
    4. 自定义工作流
    5. 筛选事项
    6. 引用资源&上传附件
    7. 管理版本
    8. 管理标签
    9. 管理事项视图
  6. 词汇表
代码仓库
  1. 功能简介
  2. 快速开始
  3. 管理远程代码仓库
  4. 导入或关联外部仓库
  5. 使用 SSH 协议
    1. 推拉代码
    2. 密钥指纹鉴权
    3. 账户 SSH 公钥与项目令牌
  6. 管理分支
    1. 分支功能
    2. 保护分支
    3. cherry-pick
  7. 使用 GPG 签名 Git commit
  8. 合并请求与代码评审
  9. 代码版本与标签
  10. 文件 / 路径锁定
  11. SVN 仓库
  12. 代码仓库设置
    1. 基本设置
    2. 部署公钥
    3. 文件锁定
    4. 分支设置
    5. 访问设置
    6. 合并请求
    7. 版本发布
    8. 代码标签
    9. 研发规范
  13. Git 通识
    1. 基础概念
    2. 常用命令
    3. LFS 大文件支持
    4. Go get 支持
  14. 最佳实践
代码扫描
  1. 功能介绍
  2. 快速入门
  3. 扫描任务
  4. 扫描方案
    1. 功能介绍
    2. Xcheck 工具
    3. 集成外部扫描工具
    4. 方案模板
  5. 常见问题
测试管理
  1. 快速入门
  2. 测试用例
    1. 创建用例
    2. 关联需求
    3. 用例评审
  3. 测试计划
    1. 创建测试计划
    2. 执行测试计划
    3. 管理测试计划
  4. 自动化用例库
  5. 分析测试报告
  6. 测试活动概览
  7. 最佳实践
持续集成
  1. 持续集成
    1. 产品简介
    2. 快速开始
      3. 编写构建流程
      1. 文本编辑器
      2. 流程配置详情
      3. 图形化编辑器
      配置构建计划
      1. 触发规则
      2. 环境变量
      3. 构建快照
      4. 缓存目录
      构建节点
      1. 构建节点类型
      2. 默认节点环境
      3. 自定义节点
      4. cci-agent
      5. 构建节点池
      管理构建计划
      1. 分组管理
      2. 团队构建计划模板
      系统插件
      1. 上传 Generic 制品
      2. 调取已录入的凭据
      3. 添加合并请求评审者
      4. 人工确认
      5. 通用报告收集
      6. 上传 API 文档
      7. 在阶段末尾执行插件
      8. 代码扫描
      9. 将镜像更新至 K8s 集群
      10. 中断信号
      11. 推送到 CODING Docker 制品仓库
      自定义团队插件
      1. 功能介绍
      2. 开发指引
      3. 声明文件
      4. qci-plugin
  2. 最佳实践
      在构建环境中安装依赖
      1. Go
      2. Maven
      3. PHP
      代码规范检查
      1. 增量检查
      2. Commit Message 规范检查
      3. Java 规范检查
      4. Markdown 规范检查
      5. PHP 规范检查
      6. Shell 规范检查
      自动化测试
      1. 介绍
      2. Java Spring Boot
      3. PHP 自动化测试
      构建制品
      1. Docker
      2. Maven
      3. Npm
      4. Composer
      自动部署
      1. COS 存储桶
      2. Docker 服务器
      3. K8s 集群
      4. Serverless
      5. Linux 服务器
      6. 微信小程序
    1. 在持续集成中使用 Docker
    2. Jenkins when 条件判断
    3. 在持续集成中使用 SSH
    4. 自建静态网站
    5. 自定义 Docker 构建环境
    6. 定时同步开源代码库
    7. 定时同步私有代码库
  3. 常见问题
    1. Jenkinsfile 相关问题
    2. 构建任务运行失败
    3. 自定义构建节点
    4. 持续集成与代码仓库
    5. 持续集成与制品库
  4. 词汇表
制品管理
  1. 制品仓库
    1. 产品介绍
      2. 快速开始
      1. 基础操作
      2. Generic 制品库
      3. Docker 制品库
      4. Maven 制品库
      5. npm 制品库
      6. Helm 制品库
      7. PyPI 制品库
      8. Composer 制品库
      9. NuGet 制品库
      10. rpm 制品库
      11. Conan 制品库
      12. Cocoapods 制品库
    2. 制品库代理
    3. 制品库权限
    4. 制品库认证
    5. 制品属性
    6. 制品版本覆盖策略
    7. 清理策略
    8. 常见问题
  2. 制品扫描
    1. 功能介绍
    2. 快速上手
  3. 自动化插件
    1. 自动推送到 CODING Docker 仓库
  4. 最佳实践
    1. 团队级制品库
持续部署
  1. 持续部署
    1. 功能介绍
    2. 快速开始
    3. 权限控制
    4. 部署控制台
    5. 云账号
    6. 应用与项目
      7. 部署流程
      1. 部署流程介绍
      2. 阶段类型
      3. 触发器配置
      部署方式
      1. 自动发布 Docker 制品时触发
      2. 在构建计划中添加部署阶段
      3. 手动提交发布单
      制品
      1. 部署流程中的制品
      2. Kubernetes 场景下的制品
      阶段类型详情
      1. 人工确认
      2. Patch(Manifest) 阶段
      3. Run Job(Manifest) 阶段
      4. Bake(Manifest) 阶段
      5. Deploy(Manifest) 阶段
      主机部署
      1. 主机部署介绍
      2. 堡垒机
      3. 主机组
      4. 堡垒机 Agent
      5. 部署阶段配置
      6. 运行脚本阶段
      7. 查看部署详情
      8. 回滚
      常见问题
      1. 部署 Kubernetes 资源时拉取私有库镜像
      2. Kubernetes 云账号的最小权限要求
      3. 如何将 Kubeconfig 中的证书文件转为证书数据
    7. 最佳实践
  2. 静态网站服务
文档管理
  1. Wiki
    1. 使用 Wiki
    2. Markdown 语法
  2. 文件网盘
    1. 功能说明
  3. API 文档管理
    1. API 文档管理快速入门
    2. API 文档管理配置说明
    3. 接入自动化工具
      4. 导入指南
      1. OpenAPI/Swagger 编写与导入指南
      2. Postman 导入指南
      3. apiDoc 导入指南
      Mock API 功能配置
      1. Mock API 功能介绍
      2. Mock API 使用流程
      3. Mock API 调用说明
个人管理
  1. 个人设置概览
  2. 个人工作台
  3. 个人账户管理
    1. 个人账户设置
    2. 两步验证介绍
    3. 账号合并指引
  4. 个人访问令牌
团队管理员指南
  1. 团队配置
  2. 项目管理
  3. 成员管理
    1. 管理团队成员
    2. 管理组织架构
    3. 管理组织架构成员
    4. 通过企业微信导入成员
    5. 通过腾讯云导入成员
    6. 通过 LDAP 导入成员
    7. 通过 TCTP 导入成员
  4. 权限配置
  5. 服务集成
    1. 绑定企业微信
    2. 绑定企业微信小程序
    3. 绑定私有 GitLab
    4. 绑定腾讯云
    5. 绑定 LDAP
    6. 绑定 TCTP
  6. 安全管理
    1. 访问审计
    2. 安全设置
    3. 日志管理
  7. 服务订购
    1. 服务订购流程
    2. 团队发票管理
  8. 消息通知
    1. 站内通知
    2. 每日邮件提醒
      3. 第三方服务通知
      1. 微信
      2. 企业微信
      3. 企业微信群机器人
      4. 钉钉机器人
项目管理员指南
  1. 项目管理
  2. 项目成员管理
  3. 权限配置
  4. 基本设置
  5. 高级设置
    1. 项目令牌
    2. 凭据管理
      3. Service Hook
      1. 功能介绍
      2. 服务类型
      3. 事件介绍
      4. 过滤器
      5. 使用 Service Hook 绑定企业微信群机器人
      6. 使用 Service Hook 绑定钉钉机器人
    3. 研发规范
项目集
  1. 使用项目集
  2. 项目集管理
  3. 成员与权限管理
  4. 项目集设置
仪表盘
  1. 使用仪表盘
  2. 最佳实践
团队目标管理
  1. 快速入门
  2. 最佳实践
  3. 词汇表
工作负载
  1. 使用工作负载
研发度量
  1. 使用研发度量
Cloud Studio
  1. Cloud Studio 介绍
  2. 应用场景
  3. 快速上手
  4. 操作指南
    1. 登录与注册
    2. 创建工作空间
    3. 工作空间的使用
    4. 管理工作空间
    5. 使用 Git 进行版本控制
    6. 连接到云主机
    7. 在线预览调试
    8. 浏览器插件
  5. 常见问题
OPEN API
  1. 授权认证
最佳实践集
  1. 项目协同
    1. 如何使用 CODING 进行项目规划
    2. 如何使用 CODING 进行敏捷开发
    3. 如何使用 CODING 进行瀑布流式研发
  2. 代码仓库
    1. 在代码仓库中使用代码扫描
    2. 在合并请求中使用代码扫描
    3. CODING 多仓库实践
  3. DevOps 实践之旅
    1. DevOps 视角的前后端分离
    2. DevOps - 从渐进式交付说起(含实践 Demo)
    3. DevOps 的分与合
    4. Opsless:Serverless 驱动的 DevOps 新形态
    5. CODING 微服务架构演进之路
  4. 一分钟开始持续集成之旅
    1. Java + GWT 构建 JavaScript 应用程序
    2. Javascript + Electron 开发桌面应用
    3. Java + Maven + Spring Boot 快速构建并验证代码
    4. Node + Express 构建应用
    5. Python + Flask 构建应用
    6. React + 腾讯云 COS 完成上传部署
    7. Ruby + Sinatra 构建应用
    8. Java + Android 在持续集成中的实践
    9. 恰当地管理安全凭据
    10. 使用持续集成定期扫描漏洞(NPM Audit)
    11. 在持续集成中使用 dotnet 工具
    12. 构建基于 Tensorflow.js 的机器学习应用
    13. 基于 CI 实现微信小程序的持续构建
    14. 构建 PHP + Zend Framework 应用
  5. 持续部署
    1. Kubernetes 滚动发布实践
    2. Kubernetes 蓝绿部署实践
    3. 在 Kubernetes 上持续部署 Helm 应用
    4. Nginx ingress 实现自动化灰度发布
    5. 持续部署 + TKE Mesh 灰度发布实践
    6. 使用 Serverless 实现动态准入控制
    7. 基于腾讯云弹性伸缩(AS)的持续部署
    8. CODING CD 主机组部署实践
    9. 使用 CODING 持续部署的强大表达式
  6. 制品库
    1. 使用 npm 仓库管理 Javascript 私有依赖包
网站托管
  1. 产品简介
  2. 操作指南
    1. 权限与实名认证
    2. 部署
    3. 修改与删除
    4. 自定义域名配置
    5. 旧版升级
  3. 最佳实践
    1. 搭建 hexo 博客
    2. 搭建 wordpress 博客
  4. 计费说明
  5. 常见问题

快速上手

文章内容
  1. 1. 创建扫描方案
  2. 2. 编辑扫描方案
  3. 3. 触发扫描方案
  4. 4. 分析扫描结果
  5. 扫描对象 Demo

本文以示例制品 fastjson 作为扫描对象,若项目内已有制品,可以直接进行扫描。

得益于 CODING 制品代理功能,在拉取制品至本地时将自动上传至制品仓库。点击示例制品获取相关信息,若不清楚如何使用 Maven 制品仓库,请参考 快速开始

1. 创建扫描方案

前往【制品管理】->【制品扫描】,点击左上角的蓝色 + 号创建一个新的扫描方案,输入扫描方案名称、描述、扫描规则和质量红线标准,即可完成创建。

方案类型

扫描方案支持安全漏洞扫描与移动端安装包质量检查两种类型;使用安全漏洞扫描类型能够筛选漏洞等级与 CVE 漏洞白名单。移动端安装包质量检查方案由「腾讯云安装包质量检查 IPT」提供主要能力,点击了解详情

扫描规则

扫描规则决定了该扫描方案中能够被检查出来的漏洞。若仅勾选了「高危」的漏洞等级,则其他等级的漏洞将不会被统计,即使存在高于「高危」等级的漏洞也不会被纳入检查。

CVE 漏洞白名单

用于在扫描过程中忽略特定类型的漏洞。你可以给某种类型的漏洞定义一个 CVE 漏洞编号并在白名单处填写,若制品存在 CVE-2020-9794 类型的漏洞则不会被纳入统计范围,点击查看 CVE 漏洞收录

⚠️ 在扫描过程中,漏洞扫描仅会在扫描规则中勾选的等级范围中进行,其他等级均会被过滤,然后才会判断 CVE 漏洞白名单中规定的具体漏洞编号。例如用户在漏洞扫描中只选择了 “危急” 的漏洞等级,而又在 CVE 漏洞白名单中填入了一个 “低危” 等级的漏洞,此等级的漏洞会被忽略。

高级选项

在高级配置中可以自动禁止未扫描完成 / 存在质量问题的制品被下载,防止存在漏洞的制品被意外使用。

2. 编辑扫描方案

对于已创建的扫描方案,点击右上角的「设置」或「规则配置」进入设置页面。

您可以在此处编辑方案名称或描述、查看重新勾选扫描规则中的漏洞等级和质量红线标准。

3. 触发扫描方案

扫描方案支持自动与手动两种触发方式。

自动扫描

点击右上角的 ··· 按钮,进入方案应用页,您可以在此处配置自动触发扫描方案。

打开自动扫描开关后,当前方案所应用的制品仓库有更新时将自动触发扫描。扫描筛选默认为「全部」,即任一制品仓库有更新时会自动触发此扫描方案。

勾选「按条件筛选」后可以为扫描方案设置应用范围与触发条件。例如下图,当 pypi-gowrite-go 制品仓库有任何制品更新时就会自动触发该扫描方案。

你还可以对扫描方案添加更加细致的制品筛选条件,如下图当 test 制品的 release 版本有更新时,将对此制品单独进行扫描。

手动扫描

有三种手动触发扫描的方式:触发单个扫描方案、批量触发制品扫描与在持续集成流水线中添加制品扫描。

点击扫描方案右上角的批量扫描可以在全部制品仓库中执行扫描,或设置扫描范围与扫描筛选条件。

在持续集成流水线中也支持手动添加制品扫描单元。

4. 分析扫描结果

各标示结果的图标意义:

您可以在扫描方案中与制品仓库列表中进行查看与分析。

将鼠标移至标示处将会弹窗扫描结果。

扫描对象 Demo

Docker 制品

Docker Hub 上排名靠前的主流镜像均可以扫描出安全漏洞,推荐采用以下镜像,类别涵盖 OS、数据库、Web 服务等,同时选取近几年发布的版本。

镜像名字 镜像版本 镜像大小 ID
alpine latest 5.58 MB sha256:389fef7118515c70fd6c0e0d50bb75669942ea722ccb976507d7b087e54d5a23
elasticsearch 2007.1.1 444.498 MB sha256:b0e9f9f047e6b49bdf540f84a9cd9004886bd17bb5bedd27692f1b4d1ec41355
mysql 2005.7.26 118.397 MB sha256:e9c354083de75cbcde66071c228fca267d0e946fb41a5399f58265e5a858fcb4
node lts-jessie 344.187 MB sha256:6f7f341ab8b86ae1e8ce376b8f962f33d0cd3d9d9cd07acd77396d91bac34d8b
ubuntu 16.04 43.716 MB sha256:9499db7817713c4d10240ca9f5386b605ecff7975179f5a46e7ffd59fff462ee
httpd 2.4.46 51.850 MB sha256:dd85cdbb99877b73f0de2053f225af590ab188d79469eebdb23ec2d26d0d10e8
elixir 2001.8.2 444.784 MB sha256:c53f2a03409dbc7882ce7f80f221c1112648c4f487b05b8e85c7916ff6d556f6
jenkins 2.46.3 291.624 MB sha256:df5bba7c222b6afb99907c184b127ac575854d288384369713f42d1db7238550
mariadb 2010.4.5 110.77 MB sha256:5071d88352b660d3f12c7b0dd6a6a6ee50a44506e4f1845ebbf114cfead5471c
mongo 4.1.13-bionic 138.847 MB sha256:d93e3cc722d80231284939241e62dbd954f01007dc629b126001b4d7adce439b
nginx 1.18 51.089 MB sha256:05f64a802c2631b8a18edfa3288d87cb961017848bb4722aa80a9b2d1c6b91ed
postgres 2009.6.13 109.440 MB sha256:a6cd86e1dfceceaf14408dbd29f6e5001296db8dbe2c34686a0432b5d102a869
python 3.6 324.031 MB sha256:bd4a91d81d7ea3c06eee2d41748fb7781e9e1599eaf9d9de5827f406ce4febe7
rabbitmq 2003.7.15 75.599 MB sha256:b3639fca0afddce8ec2770101316bfbd17f9582234c128dd3991865a6a9db06c
redis 5.0.5 33.593 MB sha256:63130206b0fa808e4545a0cb4a1f14f6d40b8a7e2e6fda0a31fd326c2ac0971c
registry 2002.4.1 9.479 MB sha256:8ff6a4aae6575dace6b603626816e74e71e93aa54dfb670daff0a7426706e58c
ruby 2002.5.5 319.239 MB sha256:e93b746e985b5972b2c674ec2e67efc535b86addd107c886505e254afdb771bc
tomcat 9.0.20 319.221 MB sha256:ce15fe2bbf240cb610a970b26f0fd9d4cc78ad52a62b049773840076e7c98117
jetty 9.4.18-jre8 258 MB sha256:9b7cfb40b7f4b3aaab1f50c4ca270acd53caf6cf9c2c04e332eedd72bc3006c9
traefik latest 92.4 MB sha256:b52fea93906adbf3a0068165e55c2640a0efa634f983334c78db5f96476df9e8

npm 制品

 "eslint": "4.18.2"

Maven 制品

<dependencies>
      <dependency>
          <groupId>com.alibaba</groupId>
          <artifactId>fastjson</artifactId>
          <version>1.1.15</version>
      </dependency>
  </dependencies>

上一篇制品库权限
最近更新
感谢反馈有用
感谢反馈没用

在阅读中是否遇到以下问题?

您希望我们如何改进?