漫谈SDL之三方库漏洞检测与CICD

漫谈 SDL 之三方库漏洞检测与 CICD

摘要

最近有小伙伴在做落地、推动三方包漏洞检测时遇到了一些问题：与devops工具侧同学以及业务线研发同学沟通时，存在双方不理解对方表述，鸡同鸭讲的情况。

解答了几次相关问题后，发现这些问题有一些共性：都会涉及到研发流程、CICD、工程化的一些点，比如CICD具体是哪些，commit、build这些阶段是属于哪个阶段，具体是什么含义，哪个是合适的安全检测触发点，有实现安全左移么？工具侧同学说的gitlab-ci、runner、.gitlab-ci.yml、pipeline又是什么，安全检测与这些又是什么关系等等）。这些知识对安全同学一定程度上来说是陌生的，但又是研发安全在企业里落地推动时的基础。在网上查到的资料一般是对于这些名词概念的单独描述，并没有与安全结合。所以稍作整理，或许可以提供参考价值。