是否有人将Checkmarx静态应用程序安全测试(SAST)工具集成到Gitlab持续集成(CI)管道中以进行静态安全扫描。或者你知道任何插件。
答案 0 :(得分:2)
我一直在使用Checkmarx与TeamCity和Jenkins管道使用他们的插件。但是对于GitLab管道,我们需要使用REST API / CLI。我更喜欢使用CLI而不是REST API,因为CLI提供了更多可用于管道决策的功能。
你可以查看他们的维基 https://checkmarx.atlassian.net/wiki/spaces/KC/pages/5767170/CxSAST+API+Guide https://checkmarx.atlassian.net/wiki/spaces/KC/pages/52560015/CxConsole+CxSAST+CLI
您可以随时提出支持票,以获得Checkmarx推荐的方法。
希望这有帮助,快乐狩猎..!
答案 1 :(得分:1)
目前,不,Checkmarx尚没有用于GitLab集成的特殊插件,但是他们有非常好的文章介绍如何启用和配置集成:
https://checkmarx.atlassian.net/wiki/spaces/SD/pages/1929937052/GitLab+Integration
答案 2 :(得分:0)
我选择自由风格,而不是去詹金斯从事管道工作。 即使没有checkmarx插件,这也是我的配置方式。
首先使用以下命令生成令牌 runCxConsole.cmd GenerateToken -v -CxUser用户名-CxPassword管理员-CxServer http:// localhost
在Build-> Execute Shell中的代码行下面进行加密
Jenkins Script
#!/bin/bash
export JAVA_HOME=/usr/bin/java
export CHECKMARX_HOME=/<checkmarx plugin path>/CxConsolePlugin-8.90.2
echo ${WORKSPACE}
echo $CX_PROJECT_NAME
mkdir ${WORKSPACE}/cxReports
export CHECKMARX_REPORTS_HOME=${WORKSPACE}/cxReports
echo $CHECKMARX_REPORTS_HOME
$CHECKMARX_HOME/runCxConsole.sh Scan -v -CxServer <checkmarx server details> -ProjectName "<project anme>" -cxToken <token> -locationtype folder -locationpath "${WORKSPACE}" -preset "Default Checkamrx" -reportcsv $CHECKMARX_REPORTS_HOME/$CX_PROJECT_NAME.csv -ReportPDF $CHECKMARX_REPORTS_HOME/$CX_PROJECT_NAME.pdf
注意:始终使用令牌与服务器进行身份验证,而不是在CLI命令中对用户名和密码进行硬编码。
有关更多信息,您可以访问https://checkmarx.atlassian.net/wiki/spaces/SD/pages/222232891/Authentication+Login+to+the+CLI https://checkmarx.atlassian.net/wiki/spaces/SD/pages/1929937052/GitLab+Integration