漫谈 SDL 之三方库漏洞检测与 CICD
摘要
最近有小伙伴在做落地、推动三方包漏洞检测时遇到了一些问题:与devops工具侧同学以及业务线研发同学沟通时,存在双方不理解对方表述,鸡同鸭讲的情况。
解答了几次相关问题后,发现这些问题有一些共性:都会涉及到研发流程、CICD、工程化的一些点,比如CICD具体是哪些,commit、build这些阶段是属于哪个阶段,具体是什么含义,哪个是合适的安全检测触发点,有实现安全左移么?工具侧同学说的gitlab-ci、runner、.gitlab-ci.yml、pipeline又是什么,安全检测与这些又是什么关系等等)。这些知识对安全同学一定程度上来说是陌生的,但又是研发安全在企业里落地推动时的基础。在网上查到的资料一般是对于这些名词概念的单独描述,并没有与安全结合。所以稍作整理,或许可以提供参考价值。
欢迎在评论区写下你对这篇文章的看法。