1. 概述
奇安信开源卫士是奇安信公司推出的一款开源组件检测工具,主要用于识别和管理软件项目中的开源组件及其潜在的安全风险。它支持多种编程语言和框架,如Java、Python、JavaScript等,通过集成CI/CD工具,可以在软件开发和测试阶段检测并提升软件版本的质量。
本文介绍如何集成Azure DevOps Server和奇安信开源卫士,实现自动检测软件版本的组件漏洞。
2. 实现方式
2.1 安装插件
为了实现Azure DevOps Server和奇安信开源卫士的集成,奇安信公司开发了一款Azure DevOps Server扩展插件,名称为"QAXOSS Security Scan"
插件大约4MB左右,非常轻便;由于奇安信开源卫士是一款收费软件,你需要获取到开源卫士的授权后,从厂商处获取到插件的安装介质。
完成插件安装后,可以在Azure DevOps Server中看到这个插件的详细描述,如下图:
2.2 配置Azure DevOps流水线
- 首先,我们需要在奇安信开源卫士中创建一个项目,并且获取到对应项目的GUID,如下图:
- 其次,我们还需要在奇安信开源卫士创建一个用于连接奇安信开源卫士的用户账户;
- 然后,我们在Azure DevOps Server中配置流水线
- 由于笔者使用接口自动触发流水线,实现自动扫描,所以在流水线中创建了两个变量OSSProjectId、OSSTaskName;OSSProjectId用于映射前面创建的项目,例如笔者对应的是一个系统名称;OSSTaskName用于建立项目中的每次扫描,例如笔者对应的每个版本;
- 在流水线中,添加开源卫士的任务,其中使用了前面的项目ID、任务名称;同时还创建了一个连接到开源卫士服务器的服务连接,如下图
- 当上面的工作就绪后,就可以运行流水线,可以从流水线的运行记录中看到开源卫士的扫描过程和结果
- 当扫描结束后,我们也可以在开源卫士服务器中查询到对应的详细结果;如果使用开源卫士提供的接口,我们还可以将结果、扫描报告等数据提取到第三方平台。
image
- 由于笔者使用接口自动触发流水线,实现自动扫描,所以在流水线中创建了两个变量OSSProjectId、OSSTaskName;OSSProjectId用于映射前面创建的项目,例如笔者对应的是一个系统名称;OSSTaskName用于建立项目中的每次扫描,例如笔者对应的每个版本;
https://www.cnblogs.com/danzhang
Azure DevOps MVP 张洪君
