首页 > 其他分享 >gitlab 集成的一些SAST安全扫描工具

gitlab 集成的一些SAST安全扫描工具

时间:2022-12-31 10:07:10浏览次数:70  
标签:SAST Semgrep SBT gitlab 扫描 Gradle Maven Ant find

企业内部使用gitlab 作为源代码管理的越来越多了,同时目前gitlab 不少企业特性也开源的社区免费版了,以下是支持的SAST 清单可以参考

参考清单

Language (package managers) / framework

Scan tool

Introduced in GitLab Version

.NET Core

​Security Code Scan​

11.0

.NET Framework

​Security Code Scan​

13.0

Apex (Salesforce)

​PMD​

12.1

C

​Semgrep​

14.2

C/C++

​Flawfinder​

10.7

Elixir (Phoenix)

​Sobelow​

11.1

Go

​Gosec​

10.7

Go

​Semgrep​

14.4

Groovy (​​Ant​​​, ​​Gradle​​​, ​​Maven​​​, and ​​SBT​​)

​SpotBugs​​​ ​​find-sec-bugs​​ plugin

11.3 (Gradle) & 11.9 (Ant, Maven, SBT)

Helm Charts

​Kubesec​

13.1

Java (any build system)

​Semgrep​

14.10

Java (​​Ant​​​, ​​Gradle​​​, ​​Maven​​​, and ​​SBT​​)

​SpotBugs​​​ ​​find-sec-bugs​​ plugin

10.6 (Maven), 10.8 (Gradle) & 11.9 (Ant, SBT)

Java (Android)

​MobSF (beta)​

13.5

JavaScript

​ESLint security plugin​

11.8

JavaScript

​Semgrep​

13.10

Kotlin (Android)

​MobSF (beta)​

13.5

Kotlin (General)

​SpotBugs​​​ ​​find-sec-bugs​​ plugin

13.11

Kubernetes manifests

​Kubesec​

12.6

Node.js

​NodeJsScan​

11.1

Objective-C (iOS)

​MobSF (beta)​

13.5

PHP

​phpcs-security-audit​

10.8

Python (​​pip​​)

​bandit​

10.3

Python

​Semgrep​

13.9

React

​ESLint react plugin​

12.5

React

​Semgrep​

13.10

Ruby

​brakeman​

13.9

Ruby on Rails

​brakeman​

10.3

Scala (​​Ant​​​, ​​Gradle​​​, ​​Maven​​​, and ​​SBT​​)

​SpotBugs​​​ ​​find-sec-bugs​​ plugin

11.0 (SBT) & 11.9 (Ant, Gradle, Maven)

Swift (iOS)

​MobSF (beta)​

13.5

TypeScript

​ESLint security plugin​

11.9, ​​merged​​ with ESLint in 13.2

TypeScript

​Semgrep​

13.10

说明

以上尽管是gitlab 直接使用的,但是基本都是基于开源的,我们也可以应用到自己的项目中

标签:SAST,Semgrep,SBT,gitlab,扫描,Gradle,Maven,Ant,find
From: https://blog.51cto.com/rongfengliang/5981876

相关文章

  • SAST 与 DAST
    DAST和SAST工具采用不同的方法来测试应用程序安全性,在软件生命周期的不同阶段工作,并且具有不同的优势和局限性。SAST工具在源代码中查找缺陷漏洞,通常在开发早期。DAS......
  • Appscan扫描的web网站有验证码导致登录失败,解决方式:使用固定的cookie、token值进行登
    Appscan扫描的web网站有验证码导致登录失败,解决方式:使用固定的cookie、token值进行登录扫描 步骤:1、登录方式选择‘无’  2、添加cookie方式一:  2)cookie名在......
  • gitlab 已有代码仓库推送到另外一个gitlab仓库
    创建一个新仓库gitclonessh://git@gitlab.***************.gitcdplt-calcium-report-webtouchREADME.mdgitaddREADME.mdgitcommit-m"addREADME"gitpush......
  • docker容器里的gitlab备份
    一、数据的备份    1、进入容器;    dockerexec-it be4c4727f3ae bash    2、执行备份命令;    gitlab-rakegitlab:backup:create......
  • gitlab 集成的一些SAST安全扫描工具
    企业内部使用gitlab作为源代码管理的越来越多了,同时目前gitlab不少企业特性也开源的社区免费版了,以下是支持的SAST清单可以参考参考清单Language(packagemanage......
  • 记一次在CentOS上安装GitLab的流程
    1、本次环境说明 系统:Centos7.6IP地址:http://192.168.3.213: 最低配置要求:2核心CPU和4G内存,这是因为[GitLab]的整体运行包含了多个进程 2、自行安装docker和d......
  • php redis之高性能扫描和批量操作
    前提:redis的扫描方法,使用scan,而不是使用keys* 因为keys*会全部key扫描一次,key数量很多时,容易造成阻塞太久甚至down机。 scan原理:指定每次遍历的key数目和查找规......
  • 静态代码自动扫描p3c的使用
    当一家公司上了一定的规模,项目越来越多,代码也越来越庞大,然后就是各种五花八门的代码格式、代码规范,通过主程们codereview耗时耗力,很多主程也缺少主观能动性和精力去cover......
  • 【Ubuntu搭建gitlab】gitlab搭建过程
    一、服务器硬件水平搭建gitlab服务器最低配置要求2核4G,低于这个配置的服务器运行效果很差二、安装依赖项sudoapt-getupdatesudoapt-getinstall-ycurlopenssh-s......
  • Golang 项目使用 Gitlab CI/CD 自动化持续集成
    GitlabCI/CD自动化持续集成该功能主要是代码提交到gitlab后,gitlab能按照指定的脚本,去运行诸如测试、构建、发布自动化,避免手工操作本文将演示以下集成项目: 测试(T......