代码安全规范

所有 AI 生成的代码必须提交到 GitLab China 进行安全扫描,确保代码质量与合规性。

⚠️ 强制要求

所有 AI 辅助生成的代码,无论来自哪个工具(LingMa、CodeBuddy、TRAE、CodeRider、OpenCode 等),都必须提交到 GitLab China 仓库,通过 CI/CD Pipeline 自动触发安全扫描后方可合并。

🦊 GitLab China →
🔄 AI 代码安全工作流
1. 使用 AI 工具生成或修改代码
2. 提交代码到 GitLab China 仓库
3. CI/CD Pipeline 自动触发安全扫描
4. 查看安全报告,修复发现的漏洞
5. 通过安全审查后合并代码 ✓
🛡️ GitLab Security Features
🔍
静态应用安全测试 (SAST)

在不运行代码的情况下分析源代码,检测 SQL 注入、XSS、硬编码密钥、不安全的加密算法等常见漏洞。GitLab 内置支持 Semgrep、SpotBugs、Gosec 等多种分析器,覆盖 20+ 编程语言。

动态应用安全测试 (DAST)

对运行中的应用进行黑盒测试,模拟真实攻击场景,检测运行时漏洞如认证绕过、会话管理缺陷、服务端请求伪造等。GitLab DAST 基于 OWASP ZAP,支持 API 和 Web 应用扫描。

📦
依赖项扫描

自动扫描项目依赖的第三方库和组件,检测已知 CVE 漏洞。支持 npm、pip、Maven、Go modules 等主流包管理器。

🔑
密钥检测

扫描代码仓库中意外提交的 API 密钥、Token、密码等敏感信息,防止凭证泄露。AI 生成的代码尤其需要注意此项检查。

🐳
容器扫描

扫描 Docker 镜像中的操作系统和应用层漏洞,确保部署的容器镜像安全可靠。

📜
许可证合规

自动识别项目依赖的开源许可证类型,检测许可证冲突,确保 AI 生成代码引入的依赖符合企业合规要求。

📊
安全仪表盘

在 GitLab 项目和群组级别提供统一的安全漏洞视图,支持漏洞分级、指派、跟踪和修复验证的完整闭环管理。

⚠️ 制品库强制要求

代码中所有引用的第三方软件包、代码库、Docker 镜像、二进制包等制品,必须全部来自 Artifactory China。严禁直接从公网源(npm、PyPI、Maven Central、Docker Hub 等)拉取依赖。所有制品必须通过 JFrog Xray 安全扫描。

🐸 Artifactory China →
🔄 制品安全工作流
1. 配置项目使用 Artifactory China 作为唯一包源
2. 构建时从 Artifactory 拉取所有依赖
3. Xray 自动扫描所有制品及其依赖
4. 不合规制品自动阻止下载/部署
5. 通过扫描的制品可用于生产部署 ✓
🐸 JFrog Artifactory & Xray
📦
统一制品仓库

Artifactory 作为企业唯一的制品管理平台,统一管理 npm、PyPI、Maven、NuGet、Go、Docker、Helm 等所有包类型。通过远程仓库代理公网源并缓存,确保构建可重复性和供应链安全。

🔬
Xray 安全扫描

JFrog Xray 对 Artifactory 中的所有制品进行深度递归扫描,检测已知 CVE 漏洞、恶意包、许可证合规问题。支持自定义安全策略,自动阻止不合规制品的下载和部署。

📋
安全策略与合规

通过 Xray 的 Watch 和 Policy 机制,设置漏洞严重级别阈值(如阻止 Critical/High 级别漏洞的制品)、许可证黑白名单、自定义规则等,实现自动化的安全合规管控。

📄
SBOM 软件物料清单

自动生成软件物料清单(SBOM),完整追踪每个制品的依赖关系树、漏洞状态和许可证信息,满足供应链安全审计要求。