跳转到主要内容

安全测试编排 (Security Testing Orchestration)

Harness 安全测试编排 (STO) 模块帮助开发团队在 CI/CD 流水线中自动化安全扫描,实现左移安全(Shift-Left Security)。

核心功能

安全扫描集成

STO 支持多种安全扫描工具的一键集成:
类型支持的扫描器
SAST(静态应用安全测试)SonarQube, Checkmarx, Snyk Code
DAST(动态应用安全测试)OWASP ZAP, Burp Suite
SCA(软件组成分析)Snyk, OWASP Dependency Checker, Trivy
容器安全Trivy, Aqua Trivy, Grype
密钥检测Gitleaks, TruffleHog

智能编排

  • 统一扫描结果:聚合来自多个扫描器的结果
  • 去重与优先级:自动识别重复漏洞,根据严重程度排序
  • 自动修复建议:提供漏洞修复指导

策略执行

  • OPA 集成:使用 Open Policy Agent 定义安全策略
  • 阻断规则:发现高危漏洞时自动阻断流水线
  • 例外管理:允许在特定情况下豁免某些漏洞

适用场景

场景说明
代码安全在构建阶段检测源代码中的安全漏洞
依赖安全检查第三方依赖中的已知漏洞
容器安全扫描容器镜像中的安全风险
密钥安全检测代码中意外提交的敏感信息

快速开始

1. 添加 STO 阶段

在 CI/CD 流水线中添加 Security Tests 阶段。

2. 选择扫描器

从预置的扫描器模板中选择或添加自定义扫描器。

3. 配置扫描目标

指定要扫描的目标(代码仓库、容器镜像、Dockerfile 等)。

4. 设置策略

定义哪些漏洞等级应该阻断流水线。

5. 查看报告

通过 Harness 控制台查看详细的安全扫描报告。

与 CI/CD 集成

STO 可以无缝集成到 CI/CD 流水线中: 
stages:
  - ci:
      name: Build
      steps:
        - build
  - security:
      name: Security Scan
      steps:
        - sast:
            scanner: sonarqube
        - sca:
            scanner: snyk
        - container:
            scanner: trivy
  - cd:
      name: Deploy

最佳实践

  1. 尽早扫描:在流水线早期发现问题,降低修复成本
  2. 分层扫描:结合 SAST、SCA、DAST 等多种扫描方式
  3. 持续优化:根据扫描结果调整策略,减少误报
  4. 团队协作:将安全漏洞分配给相应开发人员处理

安全与合规

  • 报告导出:支持导出符合行业标准的安全报告
  • 合规映射:将扫描结果映射到合规框架(PCI-DSS、SOC2 等)
  • 审计追踪:记录所有安全扫描活动和配置变更

相关资源