Інтеграція базового аналізу безпеки в CI/CD: Гігієнічний мінімум для .NET проєктів

💡 Усі статті, обговорення, новини про DevOps — в одному місці. Приєднуйтесь до DevOps спільноти!

У сучасному світі розробки програмного забезпечення ігнорування безпеки залежностей — це не просто ризик, а гарантований шлях до інцидентів. Кожен NuGet-пакет, який ви додаєте у свій проєкт, може містити вразливості. Автоматизація перевірки цих залежностей — це не «гарна практика», а фундаментальний гігієнічний мінімум, без якого неможливо випускати надійний продукт.

Ця стаття демонструє, як налаштувати обов’язковий етап сканування безпеки (security-scan) у файлі .gitlab-ci.yml для будь-якого .NET-проєкту, використовуючи стандартні інструменти .NET SDK.

Конфігурація етапу в .gitlab-ci.yml

Нижче наведено YAML-код, який повинен стати невід’ємною частиною вашого CI/CD пайплайну.

security-scan:
  stage: security-scan
  image: mcr.microsoft.com/dotnet/sdk:8.0
  before_script:
    - dotnet tool install --global dotnet-outdated-tool
  script:
    # Крок 1: Перевірка на наявність відомих вразливостей. Це — обов'язково.
    - echo "Searching for KNOWN vulnerabilities in packages..."
    - dotnet list package --vulnerable --include-transitive
    
    # Крок 2: Перевірка на застарілі пакети. Важливо для підтримки та безпеки.
    - echo "Checking for outdated (non-secure) packages..."
    - dotnet-outdated
  allow_failure: true
  only:
    - main
    - develop
    - merge_requests

Детальний розбір конфігурації: Ваша перша лінія оборони

Розглянемо кожен елемент цього життєво важливого етапу.

stage: security-scan

Ми виносимо перевірки безпеки в окремий етап. Це візуально підкреслює їхню важливість і гарантує, що вони виконуються систематично, зазвичай після етапів збірки (build) та тестування (test).

image: mcr.microsoft.com/dotnet/sdk:8.0

Використання офіційного образу .NET SDK гарантує, що у нас є доступ до актуальних та надійних інструментів командного рядка (dotnet CLI), які необхідні для аналізу.

before_script

Цей блок готує середовище для сканування.

• dotnet tool install --global dotnet-outdated-tool: Встановлення утиліти dotnet-outdated-tool. Хоча основну перевірку безпеки виконує вбудований інструмент, ця утиліта є критично важливою для підтримки «гігієни» проєкту. Використання застарілих пакетів — це технічний борг, який часто призводить до проблем із безпекою в майбутньому.

script

Це серце нашого сканування. Тут виконуються команди, які захищають ваш проєкт.

• Крок 1: Пошук відомих вразливостей
  • dotnet list package --vulnerable --include-transitive: Це перша і головна лінія оборони вашого коду. Ця команда вбудована в .NET SDK і є абсолютно обов’язковою.
    • --vulnerable: Прапор, який дає команду перевірити кожну залежність на наявність уразливостей, звіряючись із глобальною базою даних GitHub Advisory Database.
    • --include-transitive: Найважливіший прапор у цій команді. Він змушує інструмент перевіряти не тільки пакети, які ви додали власноруч, а й усі залежності цих пакетів. Саме в них найчастіше ховаються загрози. Якщо буде знайдено хоча б одну вразливість, цей крок провалиться, і ви негайно побачите це в логах.
• Крок 2: Пошук застарілих пакетів
  • dotnet-outdated: Запускає встановлений раніше інструмент. Він показує, які пакети можна оновити. Своєчасне оновлення — це не лише про нові функції, а й про отримання виправлень безпеки, які ще не були класифіковані як критичні вразливості.

allow_failure: true

Ця директива дозволяє пайплайну продовжувати роботу, навіть якщо сканер знайшов проблеми. У контексті базової безпеки це компроміс: розробники отримують звіт, але не блокується процес розробки. Однак для проєктів, де безпека є головним пріоритетом, рекомендується встановити значення false, щоб жорстко блокувати злиття коду з відомими вразливостями.