前往官网
注册/登录

创建团队

登录

帮助中心主页
入门指南
  1. 认识 CODING DevOps
    1. 产品简介
    2. 使用流程
    3. 团队、项目与项目集的关系
    4. 权限管理
  2. 注册与邀请
  3. 新建项目
  4. 开始项目协同
  5. 使用代码仓库
  6. 启动代码扫描
  7. 编译构建
  8. 管理制品
  9. 实施持续部署
  10. 管理测试用例
  11. 管理项目文档
  12. 安全等级说明
  13. 常见问题
项目协同
  1. 产品简介
  2. 选择合适的协作模式
  3. Scrum 敏捷项目管理
    1. 模式介绍
    2. 管理 Backlog
    3. 管理迭代
    4. 管理史诗
    5. 管理需求
    6. 管理任务
    7. 管理缺陷
    8. 故事点
    9. 迭代统计
    10. 总结复盘
  4. 经典项目管理
    1. 模式介绍
    2. 管理需求
    3. 计划
    4. 管理迭代
    5. 管理任务
    6. 管理缺陷
    7. 阻塞关系
    8. 工时统计
    9. 跟踪进度
  5. 事项管理
    1. 导入&导出事项
    2. 自定义事项类型
    3. 自定义事项属性
    4. 自定义工作流
    5. 自定义模板
    6. 筛选事项
    7. 引用资源&上传附件
    8. 管理版本
    9. 管理标签
    10. 管理事项视图
    11. 快速发起腾讯会议
  6. 词汇表
代码仓库
  1. 产品简介
  2. 快速开始
  3. 代码仓库管理
    1. 创建仓库
    2. 导入或关联外部仓库
    3. 查看仓库详情
    4. 设置仓库基本信息
    5. 归档仓库
    6. 删除/重置仓库
    7. 恢复已删除仓库
    8. 管理代码仓库卡片
    9. 通过本地命令行管理仓库
  4. SVN 仓库使用
    1. 创建 SVN 仓库
    2. 访问 SVN 仓库
    3. 管理 SVN 目录权限
  5. SSH 协议使用
    1. 配置 SSH 公钥
    2. 密钥指纹鉴权
    3. 通过 SSH 协议推拉代码
  6. 分支管理
    1. 创建分支
    2. 设置默认分支
    3. 设置保护分支
    4. 设置隐藏分支
    5. 使用代码所有者机制
  7. 合并请求与代码评审
    1. 调整合并请求设置
    2. 合并分支
    3. 评审合并请求
  8. 版本与标签
    1. 管理版本发布
    2. 管理版本标签
  9. 代码仓库安全
    1. 检查仓库安全风险
    2. 设置仓库访问方式
    3. 使用 GPG 签名 commit 记录
    4. 开启提交者及提交注释验证
    5. 锁定文件/文件夹
  10. Git 通识
    1. 基础概念
    2. 常用命令
    3. LFS 使用
    4. Go get 支持
  11. 最佳实践
  12. 常见问题
  13. 词汇表
代码扫描
  1. 产品简介
  2. 快速开始
  3. 扫描任务
  4. 扫描方案
    1. 产品简介
    2. Xcheck 工具
    3. 集成外部扫描工具
    4. 方案模板
    5. 自动匹配语言
  5. 常见问题
  6. 词汇表
测试管理
  1. 快速开始
  2. 测试用例
    1. 创建用例
    2. 关联需求
    3. 用例评审
  3. 测试计划
    1. 创建测试计划
    2. 执行测试计划
    3. 管理测试计划
  4. 自动化用例库
  5. 分析测试报告
  6. 测试活动概览
  7. 最佳实践
  8. 词汇表
持续集成
  1. 产品简介
  2. 快速开始
  3. 编写构建流程
    1. 文本编辑器
    2. 流程配置详情
    3. 图形化编辑器
  4. 配置构建计划
    1. 触发规则
    2. 环境变量
    3. 构建快照
    4. 缓存目录
  5. 构建节点
    1. 构建节点类型
    2. 默认节点环境
    3. 自定义节点
    4. Worker 常用命令
    5. 构建节点池
  6. 管理构建计划
    1. 分组管理
    2. 团队构建计划模板
  7. 系统插件
    1. 上传 Generic 制品
    2. 调取已录入的凭据
    3. 添加合并请求评审者
    4. 人工确认
    5. 通用报告收集
    6. 上传 API 文档
    7. 在阶段末尾执行插件
    8. 代码扫描
    9. 将镜像更新至 K8s 集群
    10. 中断信号
    11. 推送到 CODING Docker 制品仓库
    12. 制品属性设置
  8. 自定义团队插件
    1. 产品简介
    2. 开发指引
    3. 声明文件
    4. qci-plugin
  9. 最佳实践
    1. 在持续集成中使用 Docker
    2. Jenkins when 条件判断
    3. 在持续集成中使用 SSH
    4. 自建静态网站
    5. 自定义 Docker 构建环境
      6. 在构建环境中安装依赖
      1. Go
      2. Maven
      3. PHP
      代码规范检查
      1. 增量检查
      2. Commit Message 规范检查
      3. Java 规范检查
      4. Markdown 规范检查
      5. PHP 规范检查
      6. Shell 规范检查
      自动化测试
      1. 介绍
      2. Java Spring Boot
      3. PHP 自动化测试
      构建制品
      1. Composer
      2. Docker
      3. 文件
      4. Maven
      5. npm
      6. 外部制品库认证
      7. 自动生成版本号
      8. 推送至 TCR 镜像仓库
      自动部署
      1. COS 存储桶
      2. Docker 服务器
      3. K8s 集群
      4. Serverless
      5. Linux 服务器
      6. 微信小程序
      同步代码库
      1. 定时同步开源代码库
      2. 定时同步私有代码库
  10. 常见问题
    1. Jenkinsfile 相关问题
    2. 构建任务运行失败
    3. 自定义构建节点
    4. 持续集成与代码仓库
    5. 持续集成与制品库
  11. 词汇表
制品管理
  1. 制品仓库
    1. 产品简介
      2. 快速开始
      1. 基础操作
      2. Generic 制品类型
      3. Docker 制品类型
      4. Maven 制品类型
      5. npm 制品类型
      6. Helm 制品类型
      7. PyPI 制品类型
      8. Composer 制品类型
      9. NuGet 制品类型
      10. rpm 制品类型
      11. Conan 制品类型
      12. Cocoapods 制品类型
    2. 制品库代理
    3. 制品库权限
    4. 制品库认证
    5. 制品属性
    6. 制品版本覆盖策略
    7. 清理策略
    8. 常见问题
  2. 制品扫描
    1. 产品简介
    2. 快速开始
    3. 扫描对象
  3. 自动化插件
    1. 自动推送到 CODING Docker 仓库
    2. 收集制品属性
  4. 最佳实践
    1. 团队级制品库
  5. 词汇表
持续部署
  1. 产品简介
  2. 快速开始
  3. 权限控制
  4. 部署控制台
  5. 云账号
  6. 应用与项目
  7. 部署流程
    1. 部署流程介绍
    2. 阶段类型
    3. 触发器配置
  8. 部署方式
    1. 自动发布 Docker 制品时触发
    2. 在构建计划中添加部署阶段
    3. 手动提交发布单
  9. 制品
    1. 部署流程中的制品
    2. Kubernetes 场景下的制品
  10. 阶段类型详情
    1. 人工确认
    2. Patch(Manifest) 阶段
    3. Run Job(Manifest) 阶段
    4. Bake(Manifest) 阶段
    5. Deploy(Manifest) 阶段
  11. 主机部署
    1. 主机部署介绍
    2. 堡垒机
    3. 主机组
    4. 堡垒机 Agent
    5. 部署阶段配置
    6. 运行脚本阶段
    7. 查看部署详情
    8. 回滚
  12. 常见问题
    1. 部署 Kubernetes 资源时拉取私有库镜像
    2. Kubernetes 云账号的最小权限要求
    3. 如何将 Kubeconfig 中的证书文件转为证书数据
  13. 最佳实践
  14. 静态网站服务
文档管理
  1. 知识管理
    1. 产品简介
    2. 创建知识空间
    3. 管理知识空间
    4. 访问权限
  2. Wiki
    1. 产品简介
    2. 快速开始
    3. 权限配置
    4. Markdown 语法参考
  3. 文件网盘
    1. 产品简介
    2. 快速开始
    3. 权限配置
  4. API 文档管理
    1. API 文档管理快速开始
    2. API 文档管理配置说明
    3. 接入自动化工具
      4. 导入指南
      1. OpenAPI/Swagger 编写与导入指南
      2. Postman 导入指南
      3. apiDoc 导入指南
      Mock API 功能配置
      1. Mock API 功能介绍
      2. Mock API 使用流程
      3. Mock API 调用说明
Compass
  1. 产品简介
  2. 工作流
    1. 功能介绍
    2. 快速开始
    3. 耗时统计
  3. 规范
  4. 自动化
  5. 词汇表
个人管理
  1. 个人设置概览
  2. 个人工作台
  3. 个人账户管理
    1. 个人账户设置
    2. 两步验证介绍
    3. 账号合并指引
  4. 个人访问令牌
团队管理员指南
  1. 团队配置
  2. 项目管理
  3. 成员管理
    1. 管理团队成员
    2. 管理组织架构
    3. 管理组织架构成员
    4. 通过企业微信导入成员
    5. 通过腾讯云导入成员
    6. 通过 LDAP 导入成员
    7. 通过 TCTP 导入成员
  4. 权限配置
  5. 第三方应用
    1. 绑定腾讯云
    2. 绑定企业微信
    3. 绑定企业微信小程序
    4. 绑定私有 GitLab
    5. 绑定 LDAP
    6. 绑定 TCTP
  6. 安全性
    1. 访问审计
    2. 登录设置
    3. 水印设置
    4. 日志
  7. 服务订购
    1. 服务订购流程
    2. 团队发票管理
  8. 消息通知
    1. 站内通知
    2. 每日邮件提醒
      3. 第三方服务通知
      1. 微信
      2. 企业微信
      3. 企业微信群机器人
      4. 钉钉机器人
项目管理员指南
  1. 项目管理
  2. 项目成员管理
  3. 权限配置
  4. 基本设置
  5. 高级设置
    1. 项目令牌
    2. 凭据管理
      3. Service Hook
      1. 产品简介
      2. 服务类型
      3. 事件介绍
      4. 过滤器
      5. 使用 Service Hook 绑定企业微信群机器人
      6. 使用 Service Hook 绑定钉钉机器人
项目集
  1. 产品简介
  2. 快速开始
  3. 项目集管理
  4. 成员与权限管理
  5. 常见问题
仪表盘
  1. 使用仪表盘
  2. 最佳实践
团队目标管理
  1. 快速开始
  2. 最佳实践
  3. 词汇表
工作负载
  1. 使用工作负载
研发度量
  1. 使用研发度量
OPEN API
  1. 授权认证
最佳实践集
  1. 项目协同
    1. 如何使用 CODING 进行项目规划
    2. 如何使用 CODING 进行敏捷开发
    3. 如何使用 CODING 进行瀑布流式研发
  2. 代码仓库
    1. 在代码仓库中使用代码扫描
    2. 在合并请求中使用代码扫描
    3. CODING 多仓库实践
  3. DevOps 实践之旅
    1. DevOps 视角的前后端分离
    2. DevOps - 从渐进式交付说起(含实践 Demo)
    3. DevOps 的分与合
    4. Opsless:Serverless 驱动的 DevOps 新形态
    5. CODING 微服务架构演进之路
  4. 一分钟开始持续集成之旅
    1. Java + GWT 构建 JavaScript 应用程序
    2. Javascript + Electron 开发桌面应用
    3. Java + Maven + Spring Boot 快速构建并验证代码
    4. Node + Express 构建应用
    5. Python + Flask 构建应用
    6. React + 腾讯云 COS 完成上传部署
    7. Ruby + Sinatra 构建应用
    8. Java + Android 在持续集成中的实践
    9. 恰当地管理安全凭据
    10. 使用持续集成定期扫描漏洞(NPM Audit)
    11. 在持续集成中使用 dotnet 工具
    12. 构建基于 Tensorflow.js 的机器学习应用
    13. 基于 CI 实现微信小程序的持续构建
    14. 构建 PHP + Zend Framework 应用
  5. 持续部署
    1. Kubernetes 滚动发布实践
    2. Kubernetes 蓝绿部署实践
    3. 在 Kubernetes 上持续部署 Helm 应用
    4. Nginx ingress 实现自动化灰度发布
    5. 持续部署 + TKE Mesh 灰度发布实践
    6. 使用 Serverless 实现动态准入控制
    7. 基于腾讯云弹性伸缩(AS)的持续部署
    8. CODING CD 主机组部署实践
    9. 使用 CODING 持续部署的强大表达式
  6. 制品库
    1. 使用 npm 仓库管理 Javascript 私有依赖包
网站托管
  1. 产品简介
  2. 操作指南
    1. 权限与实名认证
    2. 部署
    3. 修改与删除
    4. 自定义域名配置
    5. 旧版升级
  3. 最佳实践
    1. 搭建 hexo 博客
    2. 搭建 wordpress 博客
  4. 计费说明
  5. 常见问题
持续集成——QCI
  1. 持续集成简介
  2. 功能优势
  3. 快速开始
  4. 配置流水线
    1. 触发方式
    2. 分支监控
    3. 重新运行
    4. 自动取消机制
    5. 自定义版本号
    6. 自动禁用
  5. CIFile 文件
    1. 示例文件参考
    2. 编写任务与阶段划分
    3. 代码仓库拉取配置
    4. 配置触发方式
    5. 通知及其他配置
    6. 文件路径配置格式
    7. 人工确认
    8. 收尾阶段
  6. 查看构建结果
    1. 个性化结果展示
    2. 结果徽章
    3. 结果通知
  7. 环境变量
    1. 变量分类与使用
    2. 变量分类与使用
  8. 编译环境
    1. 如何修改构建机环境
    2. 定制 Docker 编译镜像
  9. 错误码速查表
  10. 词汇表
应用中心(Orbit)
  1. 产品简介
  2. 快速开始
  3. 权限配置
  4. 应用详情
Cloud Studio
  1. 产品简介
最佳实践集 / 一分钟开始持续集成之旅 / 使用持续集成定期扫描漏洞(NPM Audit)

使用持续集成定期扫描漏洞(NPM Audit)

文章内容
  1. 前言
  2. 准备工作
  3. 创建项目
  4. 推送 react 项目到仓库
  5. 创建构建计划
  6. 配置构建计划
  7. 设置定时触发
  8. 查看构建结果
  9. 总结

前言

早在 2019 年 7 月,前端开发者熟悉的著名 Lodash 库被爆出存在高严重性的安全漏洞——“原型污染”漏洞,影响到了超 400 万个项目,该漏洞对使用 Lodash 的用户和服务安全性造成了极大威胁。

同时,在近期,美国新思科技公司发布了《2020 年开源安全和风险分析报告》(OSSRA),该报告中表明经过审计的代码中,75% 的代码库中包含漏洞,49% 的代码库中包含高风险漏洞。

对于这些安全漏洞如果平时不重视它们,一旦出现问题,对我们造成的损失是不可估量的,相当于在你的项目中存在着许多不知什么时候就可能爆炸的炸弹。

对此我们该如何去尽量及早的发现这些问题呢,接下来,我们看一下如何在 CODING 中使用持续集成定期扫描漏洞。

准备工作

创建项目

推送 react 项目到仓库

推荐使用 create-react-app 脚手架搭建,它集成了本地开发单元测试Webpack 构建功能,并且初始化了 git 基本配置,简化了 React 开发流程。

npx create-react-app npm-audit

安装成功后,进入 npm-audit 目录下,执行关联远程仓库命令并推送代码。

git remote add origin https://e.coding.net/coding-public/npm-audit/npm-audit.git
git push -u origin master

创建构建计划

将滚动条拉到最下方,选择【自定义构建过程】

可根据自己的需要更改【构建计划名称】,并选择我们刚推上来的代码仓库,完成后点击下方的【确定】按钮即可

配置构建计划

创建后自动跳转到图形化配置页面,点击自定义构建过程下的小加号

选择 命令 -> 执行 Shell 脚本

在右侧的编辑器里输入 npm i ,该步骤是为了安装依赖

然后再次点击小加号,选择 安全 -> 执行 Npm 审计

填写右侧表单

  • 填写 package.json 所在目录
    由于我们项目的 package.json 就在项目的根目录中,所以无需修改
  • 收集 Npm Audit 报告
    是否需要收集报告,这里我们选择默认值勾选即可

配置完成后,点击右上角【保存】

设置定时触发

对于定时任务的更多细节,可点击 使用定时器实现 Nightly,Weekly Build

回到持续集成首页,选择右上角的定时触发

我们将定时触发时间设置为每周一的 15:30 ,实际项目中可根据自己情况来自定义配置

到达触发时间后,可以看到我们的构建任务已经自动触发了

查看构建结果

点击构建任务

来到了构建详情页面,点击【Npm Audit】,查看扫描结果

可以看到,这个代码是存在漏洞的

由于报告内容较长,截图展示不下,这里我把它贴在下文

[workspace] $ npm audit --json
{
  "actions": [
    {
      "action": "review",
      "module": "yargs-parser",
      "resolves": [
        {
          "id": 1500,
          "path": "react-scripts>webpack-dev-server>yargs>yargs-parser",
          "dev": false,
          "optional": false,
          "bundled": false
        }
      ]
    }
  ],
  "advisories": {
    "1500": {
      "findings": [
        {
          "version": "11.1.1",
          "paths": [
            "react-scripts>webpack-dev-server>yargs>yargs-parser"
          ]
        }
      ],
      "id": 1500,
      "created": "2020-03-26T19:21:50.174Z",
      "updated": "2020-05-01T01:05:15.020Z",
      "deleted": null,
      "title": "Prototype Pollution",
      "found_by": {
        "link": "",
        "name": "Snyk Security Team",
        "email": ""
      },
      "reported_by": {
        "link": "",
        "name": "Snyk Security Team",
        "email": ""
      },
      "module_name": "yargs-parser",
      "cves": [],
      "vulnerable_versions": "<13.1.2 || >=14.0.0 <15.0.1 || >=16.0.0 <18.1.2",
      "patched_versions": ">=13.1.2 <14.0.0 || >=15.0.1 <16.0.0 || >=18.1.2",
      "overview": "Affected versions of `yargs-parser` are vulnerable to prototype pollution.  Arguments are not properly sanitized, allowing an attacker to modify the prototype of `Object`, causing the addition or modification of an existing property that will exist on all objects.   \nParsing the argument `--foo.__proto__.bar baz'` adds a `bar` property with value `baz` to all objects.  This is only exploitable if attackers have control over the arguments being passed to `yargs-parser`.\n",
      "recommendation": "Upgrade to versions 13.1.2, 15.0.1, 18.1.1 or later.",
      "references": "-   [Snyk Report](https://snyk.io/vuln/SNYK-JS-YARGSPARSER-560381)",
      "access": "public",
      "severity": "low",
      "cwe": "CWE-471",
      "metadata": {
        "module_type": "",
        "exploitability": 1,
        "affected_components": ""
      },
      "url": "https://npmjs.com/advisories/1500"
    }
  },
  "muted": [],
  "metadata": {
    "vulnerabilities": {
      "info": 0,
      "low": 1,
      "moderate": 0,
      "high": 0,
      "critical": 0
    },
    "dependencies": 1612,
    "devDependencies": 0,
    "optionalDependencies": 16,
    "totalDependencies": 1628
  },
  "runId": "1e9778e4-39c4-41df-806d-ca7556e1cca3"
}

我们来简单解读下这个报告输出的一些信息

  • metadata
"metadata": {
    "vulnerabilities": {
      "info": 0,
      "low": 1,
      "moderate": 0,
      "high": 0,
      "critical": 0
    },
    "dependencies": 1612,
    "devDependencies": 0,
    "optionalDependencies": 16,
    "totalDependencies": 1628
  }

metadata 中包含了漏洞的数量信息,vulnerabilities 中标明了每种等级漏洞的数量,info、low、moderate、high、critical 从左到右安全漏洞等级从低到高。

  • actions
"actions": [
    {
      "action": "review",
      "module": "yargs-parser",
      "resolves": [
        {
          "id": 1500,
          "path": "react-scripts>webpack-dev-server>yargs>yargs-parser",
          "dev": false,
          "optional": false,
          "bundled": false
        }
      ]
    }
  ]

actions 中包含了漏洞的修复策略,例 path 告知了我们漏洞的路径信息

  • advisories
"advisories": {
    "1500": {
      "findings": [
        {
          "version": "11.1.1",
          "paths": [
            "react-scripts>webpack-dev-server>yargs>yargs-parser"
          ]
        }
      ],
      "id": 1500,
      "created": "2020-03-26T19:21:50.174Z",
      "updated": "2020-05-01T01:05:15.020Z",
      "deleted": null,
      "title": "Prototype Pollution",
      "found_by": {
        "link": "",
        "name": "Snyk Security Team",
        "email": ""
      },
      "reported_by": {
        "link": "",
        "name": "Snyk Security Team",
        "email": ""
      },
      "module_name": "yargs-parser",
      "cves": [],
      "vulnerable_versions": "<13.1.2 || >=14.0.0 <15.0.1 || >=16.0.0 <18.1.2",
      "patched_versions": ">=13.1.2 <14.0.0 || >=15.0.1 <16.0.0 || >=18.1.2",
      "overview": "Affected versions of `yargs-parser` are vulnerable to prototype pollution.  Arguments are not properly sanitized, allowing an attacker to modify the prototype of `Object`, causing the addition or modification of an existing property that will exist on all objects.   \nParsing the argument `--foo.__proto__.bar baz'` adds a `bar` property with value `baz` to all objects.  This is only exploitable if attackers have control over the arguments being passed to `yargs-parser`.\n",
      "recommendation": "Upgrade to versions 13.1.2, 15.0.1, 18.1.1 or later.",
      "references": "-   [Snyk Report](https://snyk.io/vuln/SNYK-JS-YARGSPARSER-560381)",
      "access": "public",
      "severity": "low",
      "cwe": "CWE-471",
      "metadata": {
        "module_type": "",
        "exploitability": 1,
        "affected_components": ""
      },
      "url": "https://npmjs.com/advisories/1500"
    }
  }

advisories 包含了漏洞的详细信息,我们从中选取几个比较重要的来查看

  1. module_name:模块名
  2. severity:漏洞等级
  3. url:更多详情信息
  4. vulnerable_versions:受到影响的版本
  5. patched_versions:已经修复过的版本

总结

通过本文,希望您能够掌握如何在 CODING 持续集成中使用 Npm Audit 定时扫描漏洞,并且能够看懂它所生成的报告内容,同时也希望能够引起您对安全知识的关注。

上一篇恰当地管理安全凭据
最近更新
感谢反馈有用
感谢反馈没用

在阅读中是否遇到以下问题?

您希望我们如何改进?