1. 公司项目源码中的敏感信息扫描(jenkins 脚本自动化)
遍历公司代码仓库内的所有项目,所有分支,针对每个项目每个分支再遍历敏感词,将包含敏感词的文件输出到报告,报告
包括项目名称,分支,敏感词,文件路径,文件行号,敏感词行内容等。
2. 公司项目第三方依赖 cve 漏洞信息扫描(jenkins 脚本自动化)
● 首先创建本地 nvd 漏洞库和 cnnvd 漏洞库(漏洞库信息每日自动更新,或手动更新)
● 使用 dependency-check 对项目进行扫描并输出位 json
● 再将 json 数据解析,并使用 springboot+poi-tl 技术生成自定义模板的 word 报告
● 报告内容包括:存在依赖的文件,和每个依赖的漏洞清单及详情(漏洞等级,漏洞类型,漏洞描述)
● 最后结合公司实际情况,认为判断哪些漏洞是必须要修复的,并将报告推送至各项目经理进行安排整改
● 复测
点击空白处退出提示
评论