Gitee 官方博客
  • 产品动态
  • 企业案例
  • 项目推荐
  • 关于开源
  • 发现更多
  • 回到 Gitee
  • 产品动态
  • 企业案例
  • 项目推荐
  • 关于开源
  • 发现更多
  • 回到 Gitee

Gitee Go武器库再添猛将,开源漏洞扫描也能自动化

Gitee
3 年前发布在 产品动态

近两年来,国内各大开源厂商与 Gitee 都在向开发者与企业推行 「开源合规」 的理念,如开源许可证对使用和引用的约束、开源软件中暗藏的法律风险等。

随着时间的推移,开发者们对开源的理解也更加深入,越来越多的开发者会开始关注开源软件的许可证,并且在自己参与开源贡献时会更加关注引入的组件是否合规,更加进步的理念也让国内开源生态更加合规化和国际化。

作为广大开发者参与开源的基础工具,Gitee 的功能当然要与开发者们的理念共同进步。为了让开源作者更快捷地对开源威胁进行管控,Gitee 团队将 OpenSCA 扫描集成进了 Gitee Go 流水线中,实现了在流水线中对线上代码仓库的组件安全扫描能力。

Gitee Go武器库再添猛将,开源漏洞扫描也能自动化-Gitee 官方博客

什么是 OpenSCA

OpenSCA 是 SCA(Software Composition Analysis, 软件成分分析) 技术原理的实现。是悬镜安全旗下源鉴 OSS 开源威胁管控产品的开源版本。OpenSCA 继承了源鉴 OSS 的多源 SCA 开源应用安全缺陷检测等核心能力,通过软件成分分析、依赖分析、特征分析、引用识别、合规分析等方法,深度挖掘组件中潜藏的各类安全漏洞及开源协议风险,保障应用开源组件引入的安全。

怎么在 Gitee Go 中使用?

Gitee Go 是 Gitee 推出的一款 CI/CD 工具,可提供持续集成、持续交付(部署)能力,帮助企业不断提升应用交付的质量和效率。通过构建自动化、测试自动化、部署自动化,完成从代码提交到应用交付的自动化。通过交付流程度量,发现效率问题,并推荐优化方案。

1.新建流水线

在项目上方的标签页中选择流水线,开通 Gitee Go 后点击新建流水线。

Gitee Go武器库再添猛将,开源漏洞扫描也能自动化-Gitee 官方博客

2.将扫描任务引入流水线

接下来就可以让扫描任务通过 Gitee Go 自动触发了,你可以为扫描任务单独建立一条流水线,同样也可以将其融入进你的工作流中。

Gitee Go武器库再添猛将,开源漏洞扫描也能自动化-Gitee 官方博客

3.执行流水线并获得扫描报告

在满足条件后,流水线会自动触发扫描程序,等待其执行完毕后就可以获得这一次 PR 或者 Commit 的开源组件检测报告了。

Gitee Go武器库再添猛将,开源漏洞扫描也能自动化-Gitee 官方博客
Gitee Go武器库再添猛将,开源漏洞扫描也能自动化-Gitee 官方博客

在扫描报告中,你可以全方位地了解到项目引用了哪些组件和它们的依赖方式,哪些组件是有漏洞的以及组件是否有许可证合规风险。当然,你只需要设置一次流水线即可,Gitee Go 会根据你设置的任务流程自动触发扫描并输出报告。

Gitee Go武器库再添猛将,开源漏洞扫描也能自动化-Gitee 官方博客

有了 OpenSCA 的支持,Gitee Go 的能力得到了进一步的加强。目前 Gitee Go 已经实现了构建、测试、扫描、发布、部署的流程自动化,如果你想更深入地认识 Gitee Go,欢迎来官网看看。

👇🏻👇🏻👇🏻

点我去 Gitee Go 官网看看

当然你也可以扫描下方二维码进入 Gitee Go 技术交流群,Gitee 团队的一线技术人员将非常开心和你进行沟通与交流。

Gitee Go武器库再添猛将,开源漏洞扫描也能自动化-Gitee 官方博客


Giteegiteego

本文系作者 @Gitee 原创发布在 Gitee 官方博客。未经许可,禁止转载。

从 DevOps 到 XOps 的优质开源项目精选
上一篇
Gitee 企业版8月更新汇总:细节之处见真章
下一篇
近期文章
  • 启航 AI 新航道!Gitee 双十一与你共享智能新未来
  • 《中国DevOps现状调查报告(2023)》发布,Gitee 领跑国产平台
  • 研运一体化之下,Gitee 如何精准赋能银行实施大规模敏捷
  • 对数字「祛魅」,中大型规模企业如何进行有效的研发效能度量?
  • 从混乱到卓越,Gitee Code 如何治好 IT 部门的精神内耗
  • 科技赋能,Gitee 助力国家海关总署实现重大业务改革
  • 科大讯飞选择Gitee旗舰版,完成研发协作平台国产化替代
  • 用脑图做测试用例,高效到家了!
  • 信创驶入快车道,中国赛宝实验室选择 Gitee 搭建高效研发协作平台
  • 金融人怎么写出安全可靠的代码?知名证券企业这样做
相关文章
《中国DevOps现状调查报告(2023)》发布,Gitee 领跑国产平台
研运一体化之下,Gitee 如何精准赋能银行实施大规模敏捷
对数字「祛魅」,中大型规模企业如何进行有效的研发效能度量?
从混乱到卓越,Gitee Code 如何治好 IT 部门的精神内耗
关于我们

Gitee(gitee.com)是 OSCHINA.NET 推出的代码托管·协作开发平台,支持 Git 和 SVN,提供免费的私有仓库托管。目前已有超过 1200 万的开发者选择 Gitee。

品牌内容
开源软件 GVP计划 Gitee 封面人物 CopyCat 代码克隆检测
友情链接
开源中国 Gitee Gitee 高校版 Gitee 企业版
Copyright © 2013-2025 Gitee 官方博客. Designed by nicetheme.
  • 产品动态
  • 企业案例
  • 项目推荐
  • 关于开源
  • 发现更多
  • 回到 Gitee
热门搜索
  • Gitee
  • gitee 企业版
  • 码云
  • 开源项目
  • 码云Gitee
  • GVP
  • Git
  • 开源
  • 码云企业版
  • 码云周刊
  • 码云 gitee
  • DevOps
  • gitee企业版
  • 内源
  • 内部开源
  • innersource
  • 小程序
  • 企业版
Gitee
安全、稳定、高效的云端软件开发协作平台。
Top