这款牛逼的开源安全工具让我这个运维也变成“安全专家”

简介: 这款牛逼的开源安全工具让我这个运维也变成“安全专家”

背景


我是一家互联网公司的 DevOps 工程师,平常负责公司服务的上线发布流程。我和墨菲安全的这款开源的漏洞检测工具结缘,主要是因为前段时间log4j2 的漏洞,最近我们公司的研发频繁的上线基本上都是修复 log4j2 的漏洞,我被他们整烦了。就找他们研发的负责人讨论是不是能够在上线前集成一些自动化的工具来检测这样的漏洞,比如 log4j2 或者 fastjson 类似这样的问题。


经过一番调研,公司刚好有几个研发正在用墨菲安全的IDE插件,我看他也有一个命令行的工具,可以集成到 Jenkins 里面,于是就试了试,效果还不错。


核心问题解决


将代码安全检测能力集成至CI流程,在代码打包前即对代码进行安全扫描,保证公司代码库内项目的质量,同时也会减少项目发布时的压力。且持续集成中的任何一个环节都是自动完成的,无需太多人工干预,有利于减少重复过程以节省时间和工作量。


目前实现的效果


1、每次 Jenkins 构建的时候自动检测代码中存在的三方开源组件,并识别漏洞

2、配置规则,识别到严重漏洞就中断构建

3、结果推送到飞书群里,相关研发都能看到


集成流程


1.Jenkinsfile


在项目根目录放一个 Jenkinsfile 文件(因为 Jenkins 为单节点,为了防止机器故障造成数据丢失,所以 Jenkinsfile 文件都会存在项目里,而不是存在 Jenkins 这台机器上)**

1.png

pipline 内容:该逻辑为代码下拉后,通过墨菲安全 CLI 对代码进行检测,然后通过 Linux 工具 jq 来对检测出的数据进行解析,如检测结果存在’强烈建议修复’则终止打包流程。

pipeline{
    agent { label "xxxxx"}    // 指定在哪台节点上执行构建操作,这里指定执行节点的标签
    options {
        timestamps()    // 日志记录时间
        buildDiscarder(logRotator(numToKeepStr: '10'))    // 只保留10个构建历史
        timeout(time: 1, unit: 'HOURS')   //流水线超时设置1h
    }
    stages {
        stage("pull code"){    // 拉取代码阶段
            steps{
                script{
                    git credentialsId: 'xxxxxxxxxxxxxxxxxxxxxxxxxxxxx', url: 'https://xxx.xxxxxx.com/xxxx/xxxxxxxxxxx.git'
                }
            }
        }
        stage("Test"){    // 代码测试阶段,因各种因素影响,不能直接将公司测试代码发出来,参照即可
            steps{
                sh 'echo "build project"'
            }
        }
        stage("murphysec scan") {    // 墨菲安全CLI检测阶段
            environment {
                API_TOKEN = credentials('murphysec-token')    // {murphusec-token}是Jenkins内创建的墨菲安全访问令牌凭据,墨菲安全CLI工具默认会读取{API_TOKEN}这个变量名当作自己的{--token}参数
                }
            steps{
                sh '''
                    NUM=`murphysec scan . --server http://xxx.xxxxx.com/ --json | jq . | jq ".comps | map(select(.show_level == 1)) | length"`
                    if [ $NUM -ne 0 ];then
                        false
                    fi
                '''
            }
        }
        stage("build"){    // 代码构建阶段,因各种因素影响,不能直接将公司测试代码发出来,参照即可
            steps{
                sh 'echo "build project"'
            }
        }
        stage("publish project"){    // 代码上传阶段,因各种因素影响,不能直接将公司测试代码发出来,参照即可
            steps{
                sh 'echo "publish project"'
            }
        }
    }
    post {    // 构建后的操作
        success {    // 步骤全部执行成功后执行
            script{
                currentBuild.description = "\n 打包成功!"
                sh '''
                    DATE=`date "+%Y-%m-%d_%H:%M:%S"`
                    sh /usr/local/script/feishu.sh "项目:'$JOB_NAME'\\n结果:打包成功!已触发发布流程\\n时间:'$DATE'\\n节点:'$NODE_NAME'"
                '''
            }
        }
        failure {    // 步骤只要有一个执行失败就执行
            script{    // feishu.sh脚本是一个简单的shell脚本,存放在构建机器上,用于将构建返回的结果信息通过脚本发送至飞书群内
                currentBuild.description = "\n 打包失败!" 
                sh '''
                    DATE=`date "+%Y-%m-%d_%H:%M:%S"`
                    sh /usr/local/script/feishu.sh "项目:'$JOB_NAME'\\n结果:打包失败!\\n时间:'$DATE'\\n节点:'$NODE_NAME'\\n原因:项目中存在强烈建议修复组件!"
                '''
            }
        }
    }
}

feishu.sh内容


#!/bin/bash
## 调用飞书群机器人的webhooks接口将信息发送至群内
api=https://open.feishu.cn/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
curl -X POST \
  $api \
  -H 'Content-Type: application/json' \
  -d '{
    "msg_type": "post",
    "content": {
        "post": {
            "zh_cn": {
                "title": "Jenkins",
                "content": [
                    [
                        {
                            "tag": "text",
                            "un_escape": true,
                            "text": "'$1'"
                        }
                    ],
                    [
                    ]
                ]
            }
        }
    }
}'

调用飞书群机器人的webhooks接口将信息发送至群内


2. 在Jenkins上设置脚本路径


在Jenkins后台找到项目后,配置管理 Advanced Project Options -> Pipeline -> Script Path = Jenkinsfile ,这样Jenkisn CI 执行的时候,pipline流程就会执行Jenkinsfile里的逻辑。

1.png


3. 配置Webhooks


项目配置Webhooks,以便项目在更新后,能够自动触发Jenkins

注意:Jenkins需安装插件,Git、Gitlab Plugin

1.png

Jenkins配置


构建触发器勾选 Build when a changs is …选项,该URL在gitlab项目webhooks中会用到

1.png

创建Secret token,用于Gitlab Webhooks做验证

1.png

Gitlab 配置


网址是 GItlab [构建触发器] Build when a changs is …处的 URL

Sercet 令牌为 Jenkins 项目内创建的 Secret token

1.png


4.飞书通知


做好异常处理,某个stage抛出异常后,要及时做出通知,避免影响打包。


下图为构建流程:

1.png

通过post来对不同的构建结果做出通知,我这里采用的飞书群组机器人,调用机器人webhooks将构建结果发送到群内。项目检测未通过时,可以在后台将检测结果导入发送给开发人员做修复参考。

1.png


关于墨菲安全CLI


墨菲安全推出的一款开源工具,用于在命令行检测指定目录代码的依赖安全问题,也可以基于 CLI 工具实现在 CI 流程的检测。


开源地址 :https://github.com/murphysecurity/murphysec

欢迎大家的反馈和交流!


相关文章
|
15天前
|
运维 监控 安全
调用钉钉机器人API接口将堡垒机安全运维告警单发给运维人员
调用钉钉机器人API接口将堡垒机安全运维告警单发给运维人员
99 0
|
6天前
|
消息中间件 SQL 运维
AIOps 智能运维:比专家经验更优雅的错/慢调用分析工具
本文主要介绍ARMS 错/慢 Trace 分析功能基本原理; 该功能能够覆盖哪些异常 Trace 根因; 最后会介绍一些最佳实践案例。
|
15天前
|
运维 Cloud Native 安全
【专栏】随着信息技术发展,运维正向自动化、智能化转型,云原生运维成为主流,大数据驱动运维决策,而安全运维日益重要
【4月更文挑战第29天】随着信息技术发展,运维正向自动化、智能化转型,云原生运维成为主流,大数据驱动运维决策,而安全运维日益重要。面对技术更新快、人才短缺和复杂性增加的挑战,企业需建立培训体系,加强人才培养,优化运维管理,以适应未来运维需求。随着这些趋势,运维领域将迎来更广阔的发展前景。
|
15天前
|
存储 运维 监控
现代化运维管理:提升企业效率与安全
随着信息技术的快速发展,企业对于运维管理的需求日益增长。本文将探讨现代化运维管理在提升企业效率和安全方面的重要作用,介绍了一些最佳实践和工具,帮助企业更好地应对挑战。
|
15天前
|
运维 监控 安全
【优化篇】调用钉钉机器人API接口将堡垒机安全运维告警单发给运维人员
【优化篇】调用钉钉机器人API接口将堡垒机安全运维告警单发给运维人员
85 0
|
15天前
|
运维 监控 安全
安全运营之安全加固和运维
安全运营是一个将技术、流程和人有机结合的复杂系统工程,通过对已有安全产品、工具和服务产出的数据进行有效的分析,持续输出价值,解决安全问题,以确保网络安全为最终目标。
111 0
|
15天前
|
存储 运维 监控
强安全、免运维、轻资产,无影云电脑助力企业构建云上安全办公空间
无影云电脑助力企业构建云端一体、安全高效的一站式云上办公工作空间,为企业的云上创新护航。
228 1
|
15天前
|
运维 负载均衡 应用服务中间件
安全运维-Nginx服务器就该这么玩~
安全运维-Nginx服务器就该这么玩~
71 0
|
15天前
|
运维 安全 持续交付
亿氪虹云携手蝶宇云为金蝶云·星空用户带来「IaaS+运维+安全」的三位一体的整体解决方案
为了给用户带来更佳的运维服务,蝶宇云不断进行服务优化,在确定了要从传统的运维服务商向云的应用服务商转型的方向后,与亿氪虹云展开了深度合作。由亿氪虹云在阿里云云市场上来提供金蝶云·星空的计算巢SaaS服务,服务基于阿里云计算巢功能,在交付上实现了自动化部署;在数据安全方面提供了操作录屏功能,可以随时回放审计,为用户数据安全保驾护航;另外用户还可以根据业务实际情况进行非常灵活地扩容,及扩展和伸缩。给金蝶云·星空企业用户带来「IaaS+运维+安全」的三位一体的整体解决方案。
106 0
|
5月前
|
运维 Linux 程序员
嘘!偷窥鹅厂运维专家,让Linux内核奔跑起来不得不说的秘密
有这么一个故事,一个程序员去相亲,当女方问他的职业时,他说自己是一个底层架构工程师,女方听到“底层”两个字,很不屑地说:“底层啊,那你什么时候能升到中高层?男方听后不知该如何接话。在程序员的世界里,Linux 内核、底层其实是非常“高端”的内容,普通程序员需要在这个领域里积累多年,才能修炼到从事“底层”工作的层次。