gitlab 集成的一些SAST安全扫描工具

企业内部使用gitlab 作为源代码管理的越来越多了,同时目前gitlab 不少企业特性也开源的社区免费版了,以下是支持的SAST 清单可以参考

参考清单

Language (package managers) / frameworkScan toolIntroduced in GitLab Version
.NET Core Security Code Scan 11.0
.NET Framework Security Code Scan 13.0
Apex (Salesforce) PMD 12.1
C Semgrep 14.2
C/C++ Flawfinder 10.7
Elixir (Phoenix) Sobelow 11.1
Go Gosec 10.7
Go Semgrep 14.4
Groovy (Ant, Gradle, Maven, and SBT) SpotBugs with the find-sec-bugs plugin 11.3 (Gradle) & 11.9 (Ant, Maven, SBT)
Helm Charts Kubesec 13.1
Java (any build system) Semgrep 14.10
Java (Ant, Gradle, Maven, and SBT) SpotBugs with the find-sec-bugs plugin 10.6 (Maven), 10.8 (Gradle) & 11.9 (Ant, SBT)
Java (Android) MobSF (beta) 13.5
JavaScript ESLint security plugin 11.8
JavaScript Semgrep 13.10
Kotlin (Android) MobSF (beta) 13.5
Kotlin (General) SpotBugs with the find-sec-bugs plugin 13.11
Kubernetes manifests Kubesec 12.6
Node.js NodeJsScan 11.1
Objective-C (iOS) MobSF (beta) 13.5
PHP phpcs-security-audit 10.8
Python (pip) bandit 10.3
Python Semgrep 13.9
React ESLint react plugin 12.5
React Semgrep 13.10
Ruby brakeman 13.9
Ruby on Rails brakeman 10.3
Scala (Ant, Gradle, Maven, and SBT) SpotBugs with the find-sec-bugs plugin 11.0 (SBT) & 11.9 (Ant, Gradle, Maven)
Swift (iOS) MobSF (beta) 13.5
TypeScript ESLint security plugin 11.9, merged with ESLint in 13.2
TypeScript Semgrep 13.10

说明

以上尽管是gitlab 直接使用的,但是基本都是基于开源的,我们也可以应用到自己的项目中

posted on 2022-12-28 20:36  荣锋亮  阅读(382)  评论(0编辑  收藏  举报

导航