Help us learn about your current experience with the documentation. Take the survey.

安全合作伙伴集成 - 入门流程

如果您想将产品与 Secure Stage 集成,本页描述了 GitLab 希望用户遵循的安全结果相关开发者工作流程。这些应作为指导原则,帮助您构建与 GitLab 用户已熟悉的工作流程相匹配的集成。

本页还提供了与 作为合作伙伴入门 相关的技术工作资源。以下步骤是完成集成所需工作的概览,并链接到更详细的资源说明。

集成层级

GitLab 中的安全产品是为 GitLab Ultimate 用户和 DevSecOps 用例设计的。所有功能都在这些层级中。这包括为用户提供一致体验所需的 API 和标准报告框架,使用户能够轻松将其偏好的安全工具引入 GitLab。我们希望我们的集成合作伙伴专注于这些许可层级的工作,以便为我们的共同客户提供最大价值。

什么是 GitLab 开发者工作流程?

这个工作流程描述了 GitLab 用户如何与我们的产品交互并期望其功能。了解用户当前如何使用 GitLab 有助于您选择将自身产品及其结果集成到 GitLab 的最佳位置。

  • 开发者希望在不使用新工具的情况下编写代码,以处理他们正在处理的项目的结果或反馈。保持在单一的 GitLab 工具内,有助于他们专注于完成正在处理的代码和项目。
  • 开发者将代码提交到 Git 分支。开发者在 GitLab 中创建一个合并请求(MR),这些更改可以在其中被审查。MR 会触发 GitLab 管道来运行相关作业,包括对代码的安全检查。
  • 管道作业有多种用途。作业可以进行扫描,并对应用安全、公司政策或合规性产生影响。完成后,作业会报告其状态并创建一个 job artifact
  • Merge Request Security Widget 显示管道安全检查的结果,开发者可以审查它们。开发者可以查看结果的摘要和详细版本。
  • 如果项目中有某些政策(如 merge request approvals),开发者必须解决特定的发现或从特定人员列表中获得批准。
  • security dashboard 也显示结果,开发者可以使用它来快速查看代码中需要解决的所有漏洞。
  • 当开发者阅读漏洞详情时,他们会获得关于下一步的额外信息和选择:
    1. 创建问题(确认发现):创建一个需要优先处理的新问题。
    2. 添加评论并忽略漏洞:当忽略发现时,用户可以评论说明他们已缓解的项目、他们接受该漏洞,或者该漏洞是误报。
    3. 自动修复/创建合并请求:可以提供漏洞修复方案,允许用户无需额外努力就能轻松解决。应尽可能提供此选项。
    4. 链接:漏洞可以链接到外部站点或来源,让用户获取关于该漏洞的更多数据。

如何入门

本节描述了您需要完成的步骤,以作为合作伙伴入门并完成与 Secure 阶段的集成。

  1. 阅读我们的 合作伙伴关系
  2. 使用我们的新合作伙伴问题模板 创建问题 以开始讨论。
  3. 获取测试账户以开始开发您的集成。您可以请求 GitLab.com 订阅沙箱EE 开发者许可证
  4. 提供用户可以集成到其自身 GitLab 管道中的 pipeline job 模板。
  5. 使用您的管道作业创建报告工件。
  6. 确保您的管道作业创建一个 GitLab 可以处理的报告工件,以便成功显示您自身产品的结果与其他 GitLab 功能。
  7. 可选:提供将结果作为漏洞进行交互的方式:
    • 用户可以在其工作流程中与您工件的发现进行交互。他们可以忽略发现或接受它们并创建积压问题。
    • 要在没有用户交互的情况下自动创建问题,请使用 issue API
  8. 可选:提供自动修复步骤:
    • 如果您在工件中指定了 remediations,它将通过我们的 remediation 界面提出。
  9. 向 GitLab 演示集成:
    • 在您测试并准备好演示您的集成后,联系我们。如果您跳过此步骤,您将无法进行支持的市场营销。
  10. 开始进行 GitLab 集成的支持性营销。

我们有一个 视频播放列表,可能对此过程有所帮助。这涵盖了与集成您的工具相关的各种主题。

如果在完成您的集成或上述步骤时遇到任何问题,请创建问题与我们进一步讨论。