极狐 GitLab 依赖扫描:助力开发者管理软件供应链

极狐GitLab 是 GitLab 在中国的发行版,专门面向中国程序员和企业提供企业级一体化 DevOps 平台,用来帮助用户实现需求管理、源代码托管、CI/CD、安全合规,而且所有的操作都是在一个平台上进行,省事省心省钱。可以一键安装极狐GitLab,详情可以参考极狐GitLab 下载安装官网

GitLab 中文版学习资料

你知道一个 Java 项目需要多少个依赖吗?你知道一个 Java 项目使用的依赖是否存在漏洞吗?你知道如何查看一个依赖漏洞的相关信息吗?你知道如何修复一个依赖漏洞吗?

项目依赖数量

  1. 在 Spring Boot 官网项目类型选择 Maven,依赖只选择一个 Spring Web,打包后,解压产物, 在 BOOT-INF\lib 文件夹中,可以发现程序使用了 30 个依赖。
  2. 作者本人在上个月(2024年2月)刚创建的一个微服务项目, 功能简单(就连数据库功能都没有),暂无业务,打包后,解压产物,依赖去重后,有 144 个, 目前功能仅有(截止到 2024-03-07):
    网关功能
    • OAuth 2.1 授权功能
    • OAuth 2 资源功能
    • AOP 功能
    • 监控 功能
    • Swagger 文档

解决方案

本人使用 极狐 GitLab 扫描项目依赖,查看依赖漏洞。

可以轻松帮助我们扫描项目依赖,识别依赖的漏洞,提高项目安全性。

配置

第一步:添加 CI 代码

在极狐GitLab 流水线中添加 4 行代码,提交记录,流水线执行记录, 执行结果如下:

复制代码
stages:
  - test

include:
  - template: Jobs/Dependency-Scanning.gitlab-ci.yml

第二步:查看扫描结果

第三步:查看漏洞报告

第四步:查看某个漏洞

第五步:仪表盘查看

观察引入依赖的漏洞数量折线图

相关推荐
OpenTiny社区3 小时前
从零开发 AI 聊天页要两周?试试这款 Vue3 垂直对话组件库 TinyRobot,直接开箱即用
前端·vue.js·github
逛逛GitHub3 小时前
2 万多 Star!Google 开源了这个神级 GitHub 项目。
github
逛逛GitHub4 小时前
免费 Token 烧掉 5 万亿之后,他们出了个一站式创作平台。
github
用户805533698035 小时前
RK-Forge外设系列开篇 - 把板子从「能启动」变成「能用」:Ethernet/SPI/MMC 三个纯接线外设
linux·github·嵌入式
inhere5 小时前
eget:不用等中央仓库,直接安装 GitHub 和任意下载站的工具
程序员·开源·github
YuePeng1 天前
写了五年注解的低代码框架,2.0 决定让你连注解都不用写了
github·产品
小白ai1 天前
从"能 ping 通吗"到"为什么上不了网"——我写了一个网络故障诊断引擎
github
徐小夕1 天前
jitword 协同文档3.2发布:打造浏览器中最强word编辑器
前端·架构·github
齐翊1 天前
分享一个在 Claude Code 里 [同时] 用多个 ApiKey 的方法
程序员·github·agent
A_Lonely_Cat1 天前
记一次 GitHub 幽灵协作者大清洗:强制重写 Git 历史与穿透 CDN 缓存实践
git·github