feat(安全): 优化发布版本流水线
使用云原生构建扫描当前项目 .cnb.yml:
# .cnb.yml
.run-arrowhead-cnb: &run-arrowhead-cnb
docker:
image:
name: docker.cnb.cool/tencent/cloud/keenlab/arrowhead-cnb:main
stages:
- name: run arrowhead-cnb
script: arrowhead-cnb --output output.json ./
- name: report
script: cat output.json
main:
push:
- *run-arrowhead-cnb
输出报告格式为 JSON,默认输出到 output.json,具体 schema 可以参考 output schema。
完整例子可以参考 arrowhead-cnb-examples。
- 通过本地配置文件
arrowhead-cnb.yml进行配置:
# .cnb.yml
# 使用仓库中 arrowhead-cnb.yml 作为配置文件
.run-arrowhead-cnb: &run-arrowhead-cnb
stages:
- name: run arrowhead-cnb
image: docker.cnb.cool/tencent/cloud/keenlab/arrowhead-cnb:main
args: ["--config", "arrowhead-cnb.yml"]
- name: report
script: cat output.json
main:
push:
- *run-arrowhead-cnb
- 使用 CNB 插件 settings 配置:
# .cnb.yml
.run-arrowhead-cnb: &run-arrowhead-cnb
stages:
- name: run arrowhead-cnb
image: docker.cnb.cool/tencent/cloud/keenlab/arrowhead-cnb:main
settings:
config:
loglevel: info
infosec:
excludes:
- "./.git/*"
threads: 8
- name: report
script: cat output.json
main:
push:
- *run-arrowhead-cnb
配置文件格式可以参考 config-schema.json。
- 邮件地址、IP地址、URI
- 私钥
- 常用密钥
- Tencent Cloud AK/SK
- Google (GCP) Service-account
- AWS Access Token
- Github Token
- GitLab Personal Access Token
- Shopify
- Slack token
- Stripe
- PyPI token
- Heroku API Key
- Twilio API Key
- Facebook token
- Twitter token
- ...
- URI 密码
- 个人信息
- 手机号
- 身份证号
- 社保卡号
infosec敏感信息扫描配置。-
excludes排除扫描的文件或目录,支持 glob。 -
threads扫描时使用的线程数。
-
35/F,Tencent Building,Kejizhongyi Avenue,Nanshan District,Shenzhen
