Security Gate là gì
Security Gate giúp bạn kiểm soát mức độ an toàn của source code trước khi merge MR/PR bằng cách đánh giá kết quả scan theo các ngưỡng bảo mật đã cấu hình.
Cách hoạt động
Khi Security Gate được bật, mỗi lần thực hiện MR/PR scan, hệ thống sẽ so sánh số lượng issue tìm được với các ngưỡng (threshold) đã cấu hình. Dựa trên kết quả so sánh, hệ thống trả về trạng thái PASS hoặc FAIL qua API trong CI/CD pipeline.
- PASS — số issue không vượt ngưỡng cấu hình
- FAIL — ít nhất một ngưỡng bị vượt
Khi Security Gate ở trạng thái Inactive, tất cả MR/PR scan đều được PASS mà không kiểm tra điều kiện.
Security Conditions
Security Gate đánh giá theo ba loại scan:
| Loại scan | Mô tả |
|---|---|
| Code Analysis | Phát hiện lỗ hổng bảo mật trong source code (SAST) |
| Secret Scanning | Phát hiện secret, credential bị hard-code |
| IaC Scanning | Phát hiện misconfiguration trong Infrastructure as Code |
Mỗi loại scan có bốn ngưỡng severity:
| Ngưỡng | Ý nghĩa |
|---|---|
| Max Criticals | Số lượng issue Critical tối đa được phép |
| Max Highs | Số lượng issue High tối đa được phép |
| Max Mediums | Số lượng issue Medium tối đa được phép |
| Max Lows | Số lượng issue Low tối đa được phép |
Quy tắc áp dụng ngưỡng:
- Giá trị =
0→ block toàn bộ issue ở severity tương ứng (MR/PR sẽ FAIL nếu tìm thấy bất kỳ issue nào) - Để trống → bỏ qua điều kiện kiểm tra cho severity đó
Phạm vi áp dụng
Security Gate áp dụng cho tất cả repository đã được liên kết với workspace. Repository mới được thêm vào hệ thống sẽ tự động nằm trong phạm vi áp dụng Security Gate khi tính năng đang bật.
Bước tiếp theo
- Cấu hình Security Gate — hướng dẫn bật, cấu hình ngưỡng và tắt Security Gate