【K8s】GitLab 实现 Golang 代码漏洞扫描

最新推荐文章于 2025-12-21 13:47:09 发布
原创 最新推荐文章于 2025-12-21 13:47:09 发布 · 1.4k 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #gitlab #golang

本文内容均来自个人笔记并重新梳理,如有错误欢迎指正!

如果对您有帮助,烦请点赞、关注、转发、订阅专栏!

专栏订阅入口

| 精选文章 | Kubernetes | Docker | Linux | 羊毛资源 | 工具推荐 |

往期精彩文章

【Docker】(全网首发)Kylin V10 下 MySQL 容器内存占用异常的解决方法

【Docker】(全网首发)Kylin V10 下 MySQL 容器内存占用异常的解决方法(续)

【K8s】GitLab 实现 Golang 代码质量检查

目录

一、背景介绍

二、过程介绍

1、gitlab-runner 部分

2、Govulncheck 部分

3、最终效果验证

一、背景介绍

继笔者不久前实现了基于 GitLab 流水线的 Golang 代码质量检查后,公司研发侧再次提出,需要在 Golang 代码项目发起合并请求时,自动对代码内容进行漏洞扫描,用于及时发现代码安全隐患。经过调研和验证,笔者最终通过 gitlab-runner + Govulncheck 的方式实现了该需求。

本文将详细介绍 GitLab 实现 Golang 代码漏洞扫描的相关过程,GitLab 服务相关信息如下:

  • 版本信息:GitLab CE 17.4.2

  • 部署组件:GitLab、PostgreSQL、Redis

  • 部署方式:Kubernetes 环境下,部署为 StatefulSet 对象(后续找时间出部署教程)

  • 镜像名称:sameersbn/gitlab:17.4.2

二、过程介绍
1、gitlab-runner 部分

1)新建实例 runner

  • 使用管理员账号登录 GitLab 服务控制台,进入 Admin area 界面后依次点击:「CI/CD」->「Runner」->「创建实例 runner」

  • 填写好相关信息后,点击「创建 runner」

  • 记录下身份验证令牌后,直接返回即可

2)部署 gitlab-runner 并注册

由于当前部署的 GitLab 服务的版本高于 15.6,gitlab-runner 只能采用 Helm Chart 方式部署。

https://docs.gitlab.com/runner/install/kubernetes.html

  • 下载 Helm Chart 文件(以 17.4.2 版本为例),命令如下:

helm repo add gitlab https://charts.gitlab.io --force-updatehelm search repo -l gitlab/gitlab-runner | grep 17.4.2helm pull gitlab/gitlab-runner --version 0.69.2 --untar

  • 创建部署配置(在此配置注册信息),命令如下:

cat > values-config.yaml <<EOF
image:
  registry: docker.io
  image: gitlab/gitlab-runner
  tag: alpine-v17.4.2
livenessProbe:
   initialDelaySeconds: 60
   periodSeconds: 10
   successThreshold: 1
   failureThreshold: 3
   terminationGracePeriodSeconds: 30
readinessProbe:
   initialDelaySeconds: 60
   periodSeconds: 10
   successThreshold: 1
   failureThreshold: 3
gitlabUrl: https://gitlab.demo.com/      # GitLab 服务地址
runnerRegistrationToken: "glrt-xxxx"     # 之前记录的身份验证令牌
runnerToken: "glrt-xxxx"                 # 之前记录的身份验证令牌
rbac:
  create: true
  generatedServiceAccountName: "gitlab-ci-runner"
serviceAccount:
  create: true
  name: "gitlab-ci-runner"
metrics:
  enabled: true
securityContext:
  allowPrivilegeEscalation: true
  privileged: true

EOF

  • 执行部署命令如下,等待部署完成后,实例 runner 状态将从「未连接过」变为「在线」

helm upgrade -i -f values-config.yaml gitlab-ci-runner ./gitlab-runner
# ⚠️ 若修改后再次执行,可能导致 gitlab-runner 实例被删除!

2、Govulncheck 部分

1)构建 Govulncheck 镜像

mkdir govulncheck && cd $_

cat > Dockerfile <<EOF
FROM golang:1.23
RUN go install golang.org/x/vuln/cmd/govulncheck@v1.1.3
EOF

docker build -t govulncheck:v1.1.3-go1.23.3 -f Dockerfile .

=====================================================================================================
🔔 若后续运行过程中出现报错 "go.mod requires go >= 1.23.2 (running go 1.22.6; GOTOOLCHAIN=local)",
表明 Govulncheck 镜像中 Golang 版本低于项目 go.mod 中声明的版本,需要使用更高版本的 Golang 基础镜像重新构建

2)配置 GitLab 流水线

# 在 GitLab 项目目录下执行
cat > .gitlab-ci.yml <<EOF
govulncheck:
  image: govulncheck:v1.1.3-go1.23.3
  script:
    - export PATH=$PATH:$GOPATH/bin
    - export GOPROXY=https://goproxy.cn,direct
    - govulncheck ./...
  only:
    - merge_requests                        # 仅在代码合并时触发流水线
EOF

=====================================================================================================
🔔 Govulncheck 命令用法
# govulncheck -h
Govulncheck reports known vulnerabilities in dependencies.
Usage:
        govulncheck [flags] [patterns]
        govulncheck -mode=binary [flags] [binary]
  -C dir
        change to dir before running govulncheck
  -db url
        vulnerability database url (default "https://vuln.go.dev")
  -format value
        specify format output
        The supported values are 'text', 'json', 'sarif', and 'openvex' (default 'text')
  -json
        output JSON (Go compatible legacy flag, see format flag)
  -mode value
        supports 'source', 'binary', and 'extract' (default 'source')
  -scan value
        set the scanning level desired, one of 'module', 'package', or 'symbol' (default 'symbol')
  -show list
        enable display of additional information specified by the comma separated list
        The supported values are 'traces','color', 'version', and 'verbose'
  -tags list
        comma-separated list of build tags
  -test
        analyze test files (only valid for source mode, default false)
  -version
        print the version information

3、最终效果验证

  • 为某个 Golang 代码项目提交 cr-test 分支到 cr-master 分支的合并请求,GitLab 服务将自动触发代码漏洞扫描的流水线,合并请求详情如下图:

  • 点击流水线 #830 可以跳转查看代码漏洞扫描过程详情,如下图:

最终可以看到合并请求流水线的状态变为「已失败」,审批人可以根据代码漏洞扫描结果决策是否继续执行合并操作

Golang 领域 Docker 实战:从入门到精通
Golang编程笔记的博客
05-30 1037
你是否遇到过这样的场景?写好的Golang程序在本地跑得好好的,部署到服务器上却报错“找不到依赖”“版本不对”?或者团队协作时,同事的环境和你的不一样,程序运行结果五花八门?这时候,Docker就能大显身手!本文的目的是教会你用Docker将Golang应用“打包”成一个“环境一致、随处可运行”的“数字包裹”,覆盖从Docker基础概念到Golang项目实战的全流程,帮助你解决部署痛点。
独立开发者借企业版本实现开源创富梦想
AI天才研究院
06-11 1278
本报告系统解析独立开发者通过企业版本实现开源创富的核心逻辑,覆盖从概念基础到未来演化的全维度分析。通过第一性原理推导,揭示开源项目"社区版-企业版"双轮驱动的经济学本质;构建包含许可协议设计、功能分层、客户转化的架构模型;结合MongoDB、PostHog等典型案例,提炼技术实现与商业落地的关键策略;并针对独立开发者资源约束,提出可操作的实施路径。目标为开发者提供从技术理想主义到可持续商业闭环的完整知识框架。资源约束:单枪匹马难以支撑全栈开发(功能迭代+客户支持+市场推广)收入不稳定。
DevSecOps|极狐GitLab IaC 安全扫描,保障云原生安全
GitLab 中国发行版
08-11 3250
极狐GitLab 在 14.5 中引入了基础设施即代码(Infrastructure as code,即 IaC)的安全扫描功能。主要针对 IaC 配置文件中的已知漏洞进行扫描。目前支持的配置文件类型有 Ansible、Dockerfile、Kubernetes 以及 Terraform 等。......
GitLab CI 接入代码安全扫描技术实践
weixin_44824582的博客
11-24 1082
targeta​gentp​ath在诸多的互联网企业中,私有化部署GitLab平台是进行公司内部项目代码托管的最常用方式。GitLab平台功能强大,除了用于进行Git项目的代码托管,还具备完善的CI/CD能力,能够帮助研发同学一站式的完成代码提交,项目编译,项目部署等工作,大大简化了DevOps流程中各种平台的对接工作。这其中最重要的技术,就是GitLab平台提供的GitLab CI能力。
devops===》Jenkins(自由风格)+gitlab+sonar代码扫描漏洞扫描
Elaina_fang✨✨✨的博客
12-16 2484
一、安装sonar 官网地址:https://docs.sonarqube.org/ 下载地址:https://www.sonarqube.org/downloads/ 资料地址:https://docs.sonarqube.org/latest/ 支持的编程语言:27种,包括:Java,python,go,php,C,C++,C#,JS等等 版本区分:免费开源社区版,开发者版,企业版,数据中心版 硬件要求:SonarQube在服务器端不支持32位系统 数据库:SonarQube的7.9版本开始放弃支持M
Golang 应用的 CI/CD 与 K8S 自动化部署全流程指南
保持热爱。
05-12 1186
本文详细介绍了如何为 Golang 应用设计和实现 CI/CD 流程,涵盖技术栈选择、容器化、CI 工具配置、K8S 部署及环境隔离策略。首先,选择 Git 作为版本控制工具,GitHub Actions 作为 CI 工具,Docker 和 Harbor 用于容器化和镜像管理,K8S 和 Helm 用于部署。接着,通过编写 Dockerfile 和配置 GitHub Actions 实现自动化构建、测试和镜像推送。K8S 部署部分包括准备部署文件、配置认证,并可选使用 Helm 进行管理。最后,通过命名空间
Golang 微服务架构下的 CI_CD 挑战与解决方案
Golang编程笔记的博客
07-22 1093
本文旨在帮助开发者和DevOps工程师理解在Golang微服务环境中实施CI/CD的特殊挑战,并提供切实可行的解决方案。我们将覆盖从代码提交到生产部署的完整流程,重点关注Golang特有的构建、测试和部署问题。首先介绍Golang微服务CI/CD的核心概念然后分析主要挑战接着提供详细的解决方案最后通过实际案例展示最佳实践CI(持续集成):频繁地将代码变更集成到共享主干并自动验证的过程CD(持续交付/部署):自动化地将经过验证的代码变更部署到生产环境的能力微服务。
实战经验分享:大型项目中的云原生包管理架构设计
AI天才研究院
07-22 761
随着微服务架构、容器化技术和DevOps理念的普及,大型云原生项目面临前所未有的包管理复杂度。多语言技术栈下的依赖冲突治理分布式环境中的包版本一致性保障大规模并发场景下的仓库性能优化多云架构中的包管理策略统一覆盖从单体应用到分布式微服务架构的演进过程,适用于金融、电商、智能制造等领域的千万级代码规模项目。背景分析:明确云原生包管理的核心挑战与技术演进核心概念:解析关键术语及架构组件间的依赖关系技术实现:涵盖算法设计、数学模型和代码实现细节实战落地:通过完整案例演示架构实施路径。
GitLab任意文件读取漏洞(CVE-2020-10977)POC
01-15
检测脚本
Gitlab相关漏洞
谢公子的博客
02-02 5613
目录 Gitlab Gitlab和Github的相同点和不同点 Gitlab相关漏洞 Gitlab任意文件读取漏洞(CVE-2016-9086) Gitlab敏感信息泄露漏洞(CVE-2017-0882) Gitlab远程代码执行漏洞(CVE-2018-14364) Gitlab Wiki API 远程代码执行漏洞(CVE-2018-18649) Gitlab GitLab是一...
GitLab任意文件读取漏洞复现(CVE-2020-10977)
渗透之路,攻防之间皆学问
01-15 9278
GitLab GitLab是一个利用 Ruby on Rails 开发的开源应用程序,实现一个自托管的Git项目仓库,可通过Web界面进行访问公开的或者私人项目。它拥有与Github类似的功能,能够浏览源代码,管理缺陷和注释。可以管理团队对仓库的访问,它非常易于浏览提交过的版本并提供一个文件历史库。它还提供一个代码片段收集功能可以轻松实现代码复用,便于日后有需要的时候进行查找。 简单来说,GitLab就是一个与github差不多的项目管理和代码托管平台 官网:https://docs.gitlab.c
gitlab安全的一些思考
weixin_34409822的博客
10-09 590
http://lee90.blog.51cto.com/10414478/1858636这篇博客里面,我提到了开发人员在异地git clone导致阿里云报警的情况。虽然后来排除了被***的情况,但是gitlab的配置是否安全呢?有没有被爬虫的可能呢?这些都需要再挖掘下。我们祭出神器AWVS(全称Acunetix Web Vulnerability Scanner),输入我...
Gitlab代码泄露监控工具
bozheng2332的博客
06-20 3358
GSIL(GitHub敏感信息泄露) Python3.6安装 $ yum -y groupinstall "Development tools" $ yum -y install zlib-devel bzip2-devel openssl-devel ncurses-devel sqlite-devel readline-devel tk-devel gdbm-devel db4-devel l...
【漏洞预警】Gitlab 曝出远程代码执行漏洞
murphysec的博客
07-01 1135
2022年7月1日,OSCS 监测到 Gitlab 曝出远程代码执行漏洞。该漏洞等级较为严重。GitLab 中授权用户可以导入恶意制作的项目导致远程代码执行,攻击者可利用该漏洞执行任意远程代码,OSCS 建议各位开发者关注漏洞风险。GitLab 是美国 GitLab 公司的一款使用 Ruby on Rails 开发的、自托管的、Git(版本控制系统)项目仓库应用程序,开发者可通过 Web 界面访问公开或私人项目。漏洞评级:严重影响项目:GitLab影响版本:获取 GitLab 版本,判断其版本在 [14.0
记录线上k8s拉取不了阿里云镜像的一次临时处理
一寸一寸光阴
12-17 817
另:在把阿里云镜像文件放到linux服务器本地时,开始直接重新在k8s管理平台部署容器镜像发现还是找不到本地镜像,后来才知道k8s运行的是自己镜像空间内的镜像,如果k8s自己镜像空间内的镜像没有运行的镜像话也是没有用的,所以如果k8s部署找不到本地镜像先执行nerdctl -n k8s.io images ls命令去查看k8s镜像空间内有没有自己所需要的镜像,如果没有去解压tar包的镜像文件到k8s镜像空间内。如上命令所示,实际在执行了前7个步骤之后,k8s中的宕机的前端服务已经正常运行了。
k8s】集群安全机制(二):鉴权
最新发布
D2005_10_25的博客
12-21 456
本文主要介绍 kubernetes 安全机制的第二部分:鉴权。
Golang实现二维码扫描工具及命令行应用指南
开发者可以选择使用专门的库如grcode,或是调用现成的命令行工具如zbar来实现扫描功能。使用Golang来编写二维码扫描器是可行的,并且Golang的特性使得这个过程相对简单和高效。通过分析给定的文件信息,我们可以理解...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

行者Sun1989

您的鼓励是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值