1. 常见问题
  2. /
  3. 关于集成
  4. /
  5. GitLab

GitLab

更新时间: 2023-06-15 21:24:04

一、功能简介

墨菲安全可以通过全量检测增量检测两种模式,帮助用户发现和解决代码中的安全漏洞,提高代码库的整体安全性。全量检测是在 GitLab 中通过对整个代码库进行扫描,以便发现可能存在的安全问题的技术,用户只需启动全量检测,系统将自动扫描整个代码库,检测出所有潜在的安全问题,并生成报告。增量检测是指在 GitLab 中对于已有的代码库,当代码有更新时,GitLab 会通过 WebHook 触发墨菲安全服务进行检测,可以有效地保障代码安全,提高检测效率。墨菲安全支持所有项目增量检测单个项目增量检测两种模式,方便用户根据需要选择合适的检测方式。

二、全量检测操作步骤

2.1 获取 GitLab 访问令牌

  • 点击 GitLab 平台右上角头像 -> 偏好设置 -> 访问令牌 -> 令牌名称 -> Expiration date -> api -> 创建个人访问令牌 check check check

2.2 在墨菲安全服务平台,添加检测项目

  • 点击 设置 -> GitLab -> 新增接入 在这个模块里面,可以选择 新建接入;也可以选择 去检测 check 类型一:公网地址 check 类型二:内网地址 check

2.3 设置全量检测

  • 点击 集成方式 -> 立即进入 -> GitLab -> 全量检测 -> 选择已接入的 GitLab -> 仓库最后活跃时间 -> 语言类型 -> 归档项目 -> 下一步 check check

2.4 设置检测配置

2.5 项目管理

  • 点击 开始检测 会自动跳转到 项目管理 ,在这里可以看到检测项目 check

三、增量检测操作步骤

针对所有项目设置增量检测

1.复制墨菲安全平台的 URL 和令牌

  • 点击 集成方式 -> GIitLab立即进入 check
  • 点击 GitLab -> 选择已接入的 GitLab -> 设置Webhook -> 复制URL和令牌 check

2. 在 GitLab 里设置 System Hooks

  • 点击 Menu -> admin check
  • 点击 System Hooks -> URL -> Secret token -> Repository update events -> Add system hook
    • 在 URL 和 Secret token 里面填写上一步 复制URL和令牌 check

3. 设置 GitLab 的 Webhooks

  • 点击 GitLab 平台右上角头像 -> Preferences -> Access Tokens -> Token name -> Expiration date -> api -> Create personal access token -> 复制 token check check

4. 设置

  • 点击 设置 -> GitLab -> 新增接入 check 类型一:公网地址
  • 点击 公网地址 -> GitLab 服务地址 -> GitLab 令牌 -> 设置名称 -> 保存 check 类型二:内网地址
  • 点击 内网地址 -> GitLab 服务地址 -> 配置内网客户端 -> GitLab 令牌 -> 设置名称 -> 保存 check

5.选择检测项目

  • 点击 GitLab -> 项目列表 -> 选择需要检测的项目 -> 下一步 check

6.设置检测配置

针对单个项目设置增量检测

1. 选择单个项目

  • 点击 projects -> 单个项目 check

2. 设置 Webhooks

  • 点击 Settings -> Webhooks -> URL -> Secret token -> Push events -> Add webhook check check

3.设置 GitLab 访问令牌

  • 点击 GitLab 平台右上角头像 -> Preferences -> Access Tokens -> Token name -> Expiration date -> api -> Create personal access token -> 复制 token check check

4.设置

  • 点击 设置 -> GitLab -> 新增接入 check 类型一:公网地址
  • 点击 公网地址 -> GitLab 服务地址 -> GitLab 令牌 -> 设置名称 -> 保存 check 类型二:内网地址
  • 点击 内网地址 -> GitLab 服务地址 -> 配置内网客户端 -> GitLab 令牌 -> 设置名称 -> 保存 check

5.选择检测项目

  • 点击 GitLab -> 项目列表 -> 选择需要检测的项目 -> 下一步 check

6.设置检测配置

三、常见问题

问:在选择语言类型时是什么都可以选择吗?

答:不是,墨菲安全的 GitLab 全量检测会根据 GitLab 中的项目和语言类型来选择相应的检测引擎进行代码扫描。对于每个项目,墨菲安全会自动识别代码语言类型,例如 Java、Python、C++等,并选择相应的扫描引擎来执行全量代码检测。

问:归档项目中的包括和不包括分别指什么?

答:在GitLab中,对于归档项目,包括和不包括通常指该项目的CI/CD流程是否被设置为整体流程的一部分,如果设置为不包括,则独立运行,否则与其他项目一同触发整体流程。这种设置方式可以更好地管理和维护GitLab中的归档项目。