Azure DevOps Server:集成奇安信开源卫士(OpenSourceSafe)

1. 概述

奇安信开源卫士是奇安信公司推出的一款开源组件检测工具,主要用于识别和管理软件项目中的开源组件及其潜在的安全风险。它支持多种编程语言和框架,如Java、Python、JavaScript等,通过集成CI/CD工具,可以在软件开发和测试阶段检测并提升软件版本的质量。

本文介绍如何集成Azure DevOps Server和奇安信开源卫士,实现自动检测软件版本的组件漏洞。



2. 实现方式

2.1 安装插件

为了实现Azure DevOps Server和奇安信开源卫士的集成,奇安信公司开发了一款Azure DevOps Server扩展插件,名称为"QAXOSS Security Scan"

插件大约4MB左右,非常轻便;由于奇安信开源卫士是一款收费软件,你需要获取到开源卫士的授权后,从厂商处获取到插件的安装介质。
完成插件安装后,可以在Azure DevOps Server中看到这个插件的详细描述,如下图:


2.2 配置Azure DevOps流水线
  • 首先,我们需要在奇安信开源卫士中创建一个项目,并且获取到对应项目的GUID,如下图:
  • 其次,我们还需要在奇安信开源卫士创建一个用于连接奇安信开源卫士的用户账户;
  • 然后,我们在Azure DevOps Server中配置流水线
    • 由于笔者使用接口自动触发流水线,实现自动扫描,所以在流水线中创建了两个变量OSSProjectId、OSSTaskName;OSSProjectId用于映射前面创建的项目,例如笔者对应的是一个系统名称;OSSTaskName用于建立项目中的每次扫描,例如笔者对应的每个版本;
    • 在流水线中,添加开源卫士的任务,其中使用了前面的项目ID、任务名称;同时还创建了一个连接到开源卫士服务器的服务连接,如下图
    • 当上面的工作就绪后,就可以运行流水线,可以从流水线的运行记录中看到开源卫士的扫描过程和结果
    • 当扫描结束后,我们也可以在开源卫士服务器中查询到对应的详细结果;如果使用开源卫士提供的接口,我们还可以将结果、扫描报告等数据提取到第三方平台。
    • image

https://www.cnblogs.com/danzhang

Azure DevOps MVP 张洪君


相关推荐
冬奇Lab6 小时前
每日一个开源项目(第149篇):RAG-Anything - 把图片、表格、公式当成一等公民的多模态 RAG 框架
人工智能·开源
阿里云大数据AI技术11 小时前
阿里云 EMR AI 助手正式发布:从问答工具到全栈智能运维助手
运维·人工智能
太阳之子16 小时前
给你的 AI Agent 装一双"能上网冲浪"的眼睛
开源
冬奇Lab1 天前
每日一个开源项目(第148篇):obsidian-skills - Obsidian CEO 亲写的 AI Agent 格式规范,让 Agent 不再破坏你的 Vault
人工智能·开源·资讯
SkyWalking中文站1 天前
认识 Horizon UI · 6/17:Trace 探索器
运维·监控·自动化运维
程序员老赵1 天前
Docker 部署 Redmine:老牌开源项目管理部署实测记录
docker·开源·团队管理
colir01 天前
被粉丝夸爆的超级 ai 个人工作站,原来这么多福利
开源·agent·claude
程序员老赵2 天前
服务器文件不想 SFTP 上传?Docker 跑个 File Browser,浏览器就能管理
服务器·docker·开源
火车叼位2 天前
写给初级开发者:SSL、SSH、HTTPS 与证书体系全解析
运维
饼干哥哥2 天前
我把GPT-image-2生成PSD的能力打包成了Skill,免费开源
gpt·开源·ai编程