# 指标管理
在安全管理-质量红线-指标管理页面中,可对指标种类及其指标项进行管理。
# 指标种类
可在图中此处进行自定义指标种类,支持添加、编辑以及删除操作。
系统默认自带 SonarQube
和 Dependency-Track
两种指标种类及其所属指标项定义列表。
注意
当使用非系统自带的指标种类进行指标结果检测时,需使用
通用质量检查
原子任务。
# 指标项
选择并点击任意一个指标种类,可为其添加、编辑以及删除指标项定义。每一条指标项都可配置其指标值的默认比较规则,比如: A 指标检查规则为其值需满足大于 10 才算检测成功,就可设置 默认操作符
的值为大于、默认值
为 10。
# 策略管理
在安全管理-质量红线-策略管理页面中,可为指标种类配置不同的检查策略,策略信息包括如下:
- 风险阈值:当存在对应风险等级及以上的指标检查未通过时将最终检查结果标记为“失败”。
- 指标集合:为策略自定义需要进行检测的指标集合,并配置指标的条件以及风险等级。
- 后处理:在指标检测完成后,可选择执行消息通知、流水线(中断或审批)以及创建缺陷三种后处理操作。
# 后处理
说明
后处理执行结果最终会记录到检查结果记录中,可至检查记录详情页进行查看。
通知
支持
邮件
和企业微信
两种通知方式。设置风险阈值后,在检测时存在对应风险等级及以上的指标检查未通过,将发送通知给对应人员。
流水线
支持
异常终止
和人工审批
两种处理策略。设置风险阈值后,在检测时存在对应风险等级及以上的指标检查未通过,将影响流水线的执行状态。
缺陷
设置风险阈值后,在检测时存在对应风险等级及以上的指标检查未通过,将自动创建缺陷。
# 清单管理
在安全管理-质量红线-清单管理页面中,可添加、编辑和删除清单,还可以为清单设置忽略指标。
每个清单可以设置多种环境类型,可以关联多个不同指标种类的策略以及多个项目(只有被关联过的项目才可使用此清单)。
# 忽略指标
在清单中可以为多个项目的不同策略设置不同的忽略指标列表。
忽略指标的作用
在执行指标检查时,被标记为忽略状态的指标将被跳过,不会参与检查结果状态的计算,并且最终在检查记录的指标详情页会将这些指标打上忽略的标记。
# 执行检查
# SonarQube
使用 SonarQube
原子任务,在安全管理属性中填写检查清单等信息,在执行检查时会自动查询获取清单下指标种类为 SonarQube 的策略,从而执行检查操作。
其中 责任人
属性:若配置,将会给该用户发送消息通知,或以此用户作为所创建的缺陷的责任人。
# Dependency-Track
使用 DependencyTrack介质扫描
原子任务,在安全管理属性中填写检查清单等信息,在执行检查时会自动查询获取清单下指标种类为 Dependency-Track
的策略,从而执行检查操作。
# 通用质量检测
当使用非系统自带的指标种类进行指标结果检测时,需使用通用质量检查
原子任务。
此任务通过 HTTP
方式调用接口获取指标数据信息(要求接口返回的指标数据格式为{"指标名1":"指标值1","指标名2":"指标值2"}),并获取相应的清单及策略来执行指标检查。
# 检查结果
# 检查记录
可至安全管理-质量红线-检查记录页面中,查看指标检查结果列表以及详情信息。
# 介质
若在执行检查的流水线中包括了介质发布的操作,那么流水线中相关的指标检查记录会与所生成的介质作关联,因此可至介质详情查看相关检查记录。
# 代码安全
使用 SonarQube
原子任务执行指标检查后,可至安全管理-代码安全页面,查看关联的检查结果及其详情。
在此页面中用 通过
或 失败
两种状态表示指标检测结果的状态。
风险
表示指标检测结果中检测失败的指标列表的风险等级数量统计。