汤青松博客

比如说gitlab如何配置token、如何自动化把代码拉取到本地、如何调用fortify实现批量扫描等诸多繁琐问题。 本篇文章以甲方安全代码安全建设为主线，分享如何让代码审计工具自动化扫描gitlab仓库里的代码。并且提供了一个便捷的实验环境供大家测试。

为了达到高效率的同时又能自主可控，我决定做一个有水平的缝合侠，简单理解就是我要把很多工具巧妙的融入到我开发的工具来，这里需要考虑的第一个问题是每个工具的使用方法、输入的参数、输出的结果都是不一样的，工具A的结果工具B不一定认识。作为一个只想挖漏洞的我，我更偏向于综合型的扫描器开发，可是综合型的扫描器开发难度真的很大，要清晰地了解各种漏洞的原理，而且还需要把他们使用代码去实现，如果是我一个人从头开发我压根做不到啊。我希望是我只要给他一个URL地址，它就可以帮我扫描网站的漏洞，以及这个主机本身的漏洞。

蜻蜓内测版在五一前夕上线了，很快就积累的很多工具，用户数也逐渐增多，但我也逐渐发现这种堆积式的平台没太多技术含量；我在想是否可以做一些有挑战的事情，正好这几年低代码平台比较火热，我在想是否能在安全场景做一个低代码平台。在安全行业中，我们可以想到两类群体，开发大佬，和脚本小子；开发大佬能力强，可以写出很厉害的工具，但一个人或者一个团队的精力终究是有限的的，功能相对单一，很难做出类似想AWVS类似综合型工具； 每个团队开发出来的工具都在某一方面比较好用，很难做到全方面，而且不会考虑太多外置接口用于集成上下游；而