1. 产品简介
  2. 快速开始
  3. 编写构建流程
  4. 配置构建计划
  5. 构建环境依赖包
  6. 构建制品
  7. 构建节点
  8. 管理构建计划
  9. 系统插件
  10. 自定义团队插件
  11. 最佳实践
  12. 常见问题
  13. 词汇表
制品管理 / 制品扫描 / 快速开始

快速开始

本文以示例制品 fastjson 作为扫描对象,若项目内已有制品,可以直接进行扫描。

得益于 CODING 制品代理功能,在拉取制品至本地时将自动上传至制品仓库。点击示例制品获取相关信息,若不清楚如何使用 Maven 制品仓库,请参考 快速开始

1. 创建扫描方案

前往【制品管理】->【制品扫描】,点击左上角的蓝色 + 号创建一个新的扫描方案,输入扫描方案名称、描述、扫描规则和质量红线标准,即可完成创建。

方案类型

扫描方案支持安全漏洞扫描与移动端安装包质量检查两种类型;使用安全漏洞扫描类型能够筛选漏洞等级与 CVE 漏洞白名单。移动端安装包质量检查方案由「腾讯云安装包质量检查 IPT」提供主要能力,点击了解详情

扫描规则

扫描规则决定了该扫描方案中能够被检查出来的漏洞。若仅勾选了「高危」的漏洞等级,则其他等级的漏洞将不会被统计,即使存在高于「高危」等级的漏洞也不会被纳入检查。

CVE 漏洞白名单

用于在扫描过程中忽略特定类型的漏洞。你可以给某种类型的漏洞定义一个 CVE 漏洞编号并在白名单处填写,若制品存在 CVE-2020-9794 类型的漏洞则不会被纳入统计范围,点击查看 CVE 漏洞收录

⚠️ 在扫描过程中,漏洞扫描仅会在扫描规则中勾选的等级范围中进行,其他等级均会被过滤,然后才会判断 CVE 漏洞白名单中规定的具体漏洞编号。例如用户在漏洞扫描中只选择了 “危急” 的漏洞等级,而又在 CVE 漏洞白名单中填入了一个 “低危” 等级的漏洞,此等级的漏洞会被忽略。

高级选项

在高级配置中可以自动禁止未扫描完成 / 存在质量问题的制品被下载,防止存在漏洞的制品被意外使用。

2. 编辑扫描方案

对于已创建的扫描方案,点击右上角的「设置」或「规则配置」进入设置页面。

您可以在此处编辑方案名称或描述、查看重新勾选扫描规则中的漏洞等级和质量红线标准。

3. 触发扫描方案

扫描方案支持自动与手动两种触发方式。

自动扫描

点击右上角的 ··· 按钮,进入方案应用页,您可以在此处配置自动触发扫描方案。

打开自动扫描开关后,当前方案所应用的制品仓库有更新时将自动触发扫描。扫描筛选默认为「全部」,即任一制品仓库有更新时会自动触发此扫描方案。

勾选「按条件筛选」后可以为扫描方案设置应用范围与触发条件。例如下图,当 pypi-gowrite-go 制品仓库有任何制品更新时就会自动触发该扫描方案。

你还可以对扫描方案添加更加细致的制品筛选条件,如下图当 test 制品的 release 版本有更新时,将对此制品单独进行扫描。

手动扫描

有三种手动触发扫描的方式:触发单个扫描方案、批量触发制品扫描与在持续集成流水线中添加制品扫描。

点击扫描方案右上角的批量扫描可以在全部制品仓库中执行扫描,或设置扫描范围与扫描筛选条件。

在持续集成流水线中也支持手动添加制品扫描单元。

4. 分析扫描结果

各标示结果的图标意义:

将鼠标移至标示处将会弹窗扫描结果。

5. 解决漏洞并记录

针对已暴露的漏洞,你可以按照漏洞概览中的修复建议进行漏洞修复。

若漏洞并不会造成较为严重的后果,可以将其记录为“忽略”;若已对漏洞采取修补动作,可以将其记录为“修复”。

若希望上手扫描更多制品,请阅读此文档

上一篇产品简介
最近更新
感谢反馈有用
感谢反馈没用

在阅读中是否遇到以下问题?

您希望我们如何改进?

工单咨询