写回答
-
面对过去,不要迷离;面对未来,不必彷徨;活在今天,你只要把自己完全展示给别人看。在云效中,依赖包漏洞检测是一个内置的功能,它帮助企业检查其工程依赖包的安全性。这个功能基于丰富的安全漏洞库,可以高效地识别代码直接和间接依赖的漏洞风险,并可推荐直接依赖包的修复版本,进而屏蔽直接和间接的风险引入。
配置依赖包漏洞检测服务的步骤包括:
- 了解工程都使用了哪些依赖包;
- 删除不需要的依赖包;
- 检测并修复当前依赖的已知漏洞。
如果你遇到打包报错的情况,可能是由于漏洞扫描时缺少制品库仓库的配置而无法找到包。为了解决这个问题,你可以在云效的漏洞扫描配置中,找到相关的配置项,添加制品库仓库的地址和凭据(如果有)。如果允许的话,你也可以将相关的依赖包下载到本地,并通过配置本地仓库来引用这些依赖。
2023-12-06 21:24:20赞同 展开评论 打赏 -
这个是codeup的功能,流水线没有的呢,可以在codeup仓库里配置检测的方案https://help.aliyun.com/document_detail/434321.html?spm=a2c4g.206898.0.0.7c3360c1MqUYuK 此回答整理自钉群“云效交付域答疑群”
2023-12-06 20:06:30赞同 展开评论 打赏 -
在云效产品中,依赖包漏洞检测通常可以在代码库的设置中进行配置。以下是配置依赖包漏洞检测的一般步骤:
登录云效:首先,登录到你的阿里云账户,并访问云效控制台。
选择项目和代码库:在云效控制台中,选择你想要配置依赖包漏洞检测的项目,然后进入该项目的代码库列表。
进入代码库设置:找到你想要配置的代码库,然后点击进入该代码库的设置页面。
查找依赖包漏洞检测设置:在代码库设置页面中,查找与依赖包漏洞检测相关的设置项。这可能位于“安全”、“集成与服务”或类似的部分。
开启依赖包漏洞检测:根据提示,启用依赖包漏洞检测功能。你可能需要提供一些额外的参数,如Java项目的
settings.xml文件路径或Python项目的requirements.txt文件路径。保存并应用设置:完成配置后,记得保存设置,并确保新的设置已经生效。
检查结果:一旦依赖包漏洞检测功能启用,云效会定期扫描你的代码库,并报告任何发现的安全漏洞。你可以通过查看相关报告来了解检测结果。
2023-12-06 20:03:28赞同 展开评论 打赏
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
云效,企业级一站式研发协同平台,数十万企业都在用。支持公共云、专有云和混合云多种部署形态,通过云原生新技术和研发新模式,助力创新创业和数字化转型企业快速实现研发敏捷和组织敏捷,打造“双敏”组织,实现多倍效能提升。
