什么是敏感信息检测敏感信息检测功能,可以检测代码库中的敏感凭证和密钥,比如 API keys 等信息。集成在合并请求代码评审阶段,可以有效防止敏感信息意外提交。
敏感信息问题等级分为:BLOCKER, CRITICAL, MAJOR
BLOCKER: 通过规则扫描出来的可能性很高的明文问题 ;
CRITICAL: 通过信息熵模型得出的可能性较高的潜在问题;
MAJOR: 用于测试的敏感信息字段;
立即体验
开启或关闭扫描
代码库管理员角色有权限开启或关闭扫描。
开启扫描
- 在 「设置」- 「集成与服务」中开启
- 弹出的 「用户承诺书」窗口中,阅读并勾选 「我已阅读相关协议并确认开通服务」,然后点击「确认」
- 选择触发扫描的时机
- 代码提交触发扫描:代码提交即git push
后触发扫描 - 合并请求触发扫描:合并请求事件触发扫描,即创建合并请求、合并请求更新触发扫描
关闭扫描
在 「设置」- 「集成与服务」中关闭
在 「提交」中查看扫描结果
当开启了代码提交触发扫描,可以在 「提交」中查看扫描结果
- 在 「提交」列表查看
- 鼠标悬停查看敏感信息扫描结果
- 点击 「详情」查看扫描详情
在 「合并请求」中查看扫描结果
当开启了合并请求触发扫描,可以在 「合并请求」中查看扫描结果
在 「合并请求」详情查看,查看敏感信息扫描
点击「详情」查看扫描问题
点击具体的扫描问题查看扫描详情
点击 「扫描汇总」查看所有扫描结果
代码敏感信息检测-安全视图
安全模块提供敏感信息检测结果汇总及查阅服务
如何从安全页开启
点击代码库导航中「安全」模块,即①,展示当前可用安全服务列表。如果你是代码库管理员,可点击②直接前往库设置开启服务;如果不具备库管理器权限,可联系代码库管理员开启。
开启服务过程说明参见敏感信息检测,值得注意的是,为了保证每次提交都能够安全合规,开启服务时需要勾选「代码提交触发」,开启后可在安全模块中查看敏感信息检测结果。
执行扫描
开启服务后将自动触发「默认分支」的扫描行为,其他分支需要主动触发。点击①切换分支,若当前分支未执行过扫描,可点击②手动触发一次扫描:
查看扫描结果
当前分支存在扫描结果时展示如下。
由于此处扫描均是基于提交进行的,点击①处可查看当前扫描结果对应的提交详情;点击②处可查看单条问题详情:
问题详情中,展示了当前敏感信息问题的状态,是否已解决;查看问题的引入人和点击①查看引入提交详情;查看具体的问题描述,可点击②处跳转历史源文件;以及问题动态,通过某次提交修复该问题,便于追溯审计。
忽略问题
针对报出的问题,支持忽略操作,可以排除误报或不关注问题的干扰。
击忽略,填写忽略原因后确认:
注意
:忽略仅在当前分支上不再报出,其他分支上的相同问题不受影响
忽略后支持重新打开:
检测问题类型
敏感信息检测当前启用的规则共 53 条,代码库管理员可前往库设置-集成与服务-代码安全中点击①进行查看:
云效代码管理 Codeup云效代码管理 Codeup,数十万企业都在用的代码管理平台,提供代码托管、代码评审、代码扫描、质量检测、持续集成等功能,全方位保护企业代码资产,帮助企业实现安全、稳定、高效的代码托管和研发管理。
立即体验
关于我们
了解更多关于阿里云云效DevOps的最新动态,可微信搜索并关注【云效】公众号;
福利:公众号后台回复【指南】,可获得《阿里巴巴DevOps实践指南》&《10倍研发效能提升案例集》;
看完觉得对您有所帮助别忘记点赞、收藏和关注呦;
