如何将极狐GitLab 漏洞报告导出为 HTML 或 PDF 格式或导出到 Jira

news2024/11/25 2:46:29

目录

导出为 HTML/PDF

将漏洞信息导出到 Jira

参考资料


极狐GitLab 的漏洞报告功能可以让开发人员在统一的平台上面管理代码,对其进行安全扫描、管理漏洞报告并修复漏洞。但有些团队更喜欢使用类似 Jira 的单独工具来管理他们的安全漏洞。他们也可能需要以易于理解的格式向领导层展示漏洞报告。

极狐GitLab 的漏洞报告可以通过一键点击的方式导出为 CSV,方便在其他工具中进行分析。但在某些情况下,一个简单的 PDF 报告就足够了。

使用极狐GitLab 的 API,可以轻松查询漏洞信息并将报告详细信息发送到其他地方,比如 PDF 文件或 Jira 项目。在本博客中,我们将向您展示如何将 GitLab 的漏洞报告导出 HTML/PDF 格式,或直接导出到 Jira。

请注意,本教程中使用的脚本仅供参考,并不受极狐GitLab 支持。

导出为 HTML/PDF


要将漏洞报告导出为 HTML 或 PDF,可参考 custom-vulnerability-reporting 项目。

图片

该项目包含一个脚本,用于查询项目的漏洞报告,然后基于漏洞报告的数据生成HTML文件。项目中配置的流水线会运行此脚本,并将HTML文件转换为PDF格式。

要使用导出工具,首先需要对该项目进行 Fork(派生)或导入到新项目(选择“通过URL导入存储库”,并粘贴原始项目的 git URL)。

图片

按照自述文件 README.MD 的说明设置 CI/CD 变量。您需要以下极狐GitLab 信息:

  • 具有访问漏洞信息权限的 GitLab 项目/个人访问令牌(具有 read_api 范围);

  • 极狐GitLab GraphQL API URL(对于 SaaS,为https://jihulab.com/api/graphql);

  • 极狐GitLab 项目路径(例如 smathur/custom-vulnerability-reporting)。

在设置必需的 CI/CD 变量之后,从项目的流水线页面手动运行一个流水线。完成流水线后,可以访问 build_report(用于 HTML)或 pdf_conversion 作业,在侧边栏的“任务制品”下选择“下载”或“浏览”来查看您的文件导出。至此,您就获得了一个可共享且易于阅读的项目漏洞的 pdf 报告。

图片

将漏洞信息导出到 Jira


极狐GitLab 允许您通过 UI 使用我们的 Jira 集成功能从漏洞中创建 Jira 工单。尽管您可以为需要处理的漏洞单独执行此操作,但有时团队需要批量创建 Jira 工单来处理所有的漏洞。我们可以利用极狐GitLab 和 Jira 的 API 来实现这一点。

开始操作之前,请参考 external-vulnerability-tracking 项目。此脚本与上面的脚本以相同的方式获取漏洞,但它使用 Jira API 为每个漏洞创建一个工单。每个工单的描述也包含了来自 GitLab 漏洞报告的详细信息。

要使用导出工具,只需 Fork(派生)该项目或导入到新项目(选择“通过 URL 导入存储库”,并粘贴原始项目的 git URL),并按照自述文件的说明设置 CI/CD 变量。

您需要准备以下 GitLab 信息:

  • 具有访问漏洞信息权限的 GitLab 项目/个人访问令牌(具有read_api范围);

  • 极狐GitLab GraphQL API URL(对于 SaaS,为 https://jihulab.com/api/graphql);

  • 极狐GitLab 项目路径(例如 smathur/external-vulnerability-tracking)。

您还将需要以下 Jira 信息:

  • Jira 个人访问令牌;

  • Jira API问题端点URL(对于SaaS为 https://ORG_NAME.atlassian.net/rest/api/latest/issue/);

  • Jira 用户电子邮件 ID;

  • Jira 项目 Key,您希望在其中创建漏洞工单(例如 ABC)。

在根据项目自述文件中的说明设置 CI/CD 变量后,只需从该项目的流水线页面运行一个流水线,然后就可以看到所有的漏洞信息将会在 Jira 中自动创建工单。如果将来再次运行流水线,脚本将对 Jira 项目运行搜索查询,防止创建重复的工单。它只会为没有记录在 Jira 中的新漏洞创建工单。

图片

参考资料


  • GraphQL API resources | GitLab

  • jwagner-demo / Vandelay Industries / Engineering / Custom Vulnerability Reporting · GitLab

  • Siddharth Mathur / External Vulnerability Tracking · GitLab

  • Jira REST API examples

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1167755.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

穿越国界的数字金融:探析中国跨境B2C电商支付的前景与机遇

随着全球数字化浪潮的不断涌现,中国的跨境B2C电商市场正迅速崭露头角,成为世界上最具活力和潜力的市场之一。中国的消费者越来越愿意购买来自国外的产品,而数字金融技术的不断发展也为这一趋势的崛起提供了坚实的基础。 在这篇文章中&#x…

Python数据分析:在职场中的竞争优势

前言 在职场中,技能的重要性是不言而喻的。越来越多的职位要求员工具备数据分析能力,而Python作为一种强大的数据分析工具,正在成为职场中的“利器”。然而,尽管Python数据分析提供了巨大的优势,许多人依然未能掌握这…

前世档案c

题目描述 网络世界中时常会遇到这类滑稽的算命小程序,实现原理很简单,随便设计几个问题,根据玩家对每个问题的回答选择一条判断树中的路径(如下图所示),结论就是路径终点对应的那个结点。 现在我们把结论…

CentOS 7使用RPM包安装MySQL5.7

目标 本文目标是简单介绍如何在CentOS 7上使用RPM包安装MySQL 5.7,然后描述如何调整存储路径datadir。 环境准备 操作系统 —— CentOS 7MySQL版本 —— MySQL 5.7.44 获取MySQL-rpm包 官网下载地址:https://dev.mysql.com/downloads/mysql/5.7.htm…

MySQL复习总结(一):基础篇

文章目录 一、MySQL概述二、SQL语句2.1 SQL分类2.2 DDL语言2.2.1 数据库操作2.2.2 表操作:通用2.2.3 表操作:修改2.2.4 表操作:删除 2.3 DML语言2.3.1 添加数据2.3.2 修改数据2.3.3 删除数据 2.4 DQL语言2.5 DCL语言 三、函数四、约束五、多表查询5.1 多表关系 六、事务6.1 事务…

实验三:Intent与Activity的使用

实验三:Intent与Activity的使用 3.1 实验目的 本次实验旨在帮助大家熟练掌握Intent和Activity的使用。Intent的最常见用途是绑定应用程序组件,它能够在应用程序的Activity之间启动、停止和传输数据。同时,我们还将通过添加用户名和密码的示…

【C++初阶】类与对象(二)

目录 前言:一、构造函数1.1 构造函数概念1.2 为什么有构造函数1.3 构造函数的写法及使用1.4 默认构造函数1.5 哪些可为默认构造函数 二、析构函数2.1 析构函数概念2.2 为什么有析构函数2.3析构函数的写法及使用2.4 默认析构函数 三、拷贝构造函数3.1 拷贝构造函数概…

制造行业数字化运维破局之道

项目背景 某大型汽车制造集团,致力于通过数字化、智能化运营手段为用户提升提供高品质的汽车产品和服务。IT部门不仅为内外部持续提供服务,同时为业务运营与核心系统运行提供重要支撑。数字化运维作为数字化转型的核心基础,不但要保障数据安…

CSDN规则详解(一)

文章目录 前言CSDN博客用户准则总则博客注册博客行为规则被投诉侵权用户处理规则附则 博客积分规则博客等级博客VIP文章说明后记 前言 CSDN是一个专业的技术社区,不仅可以分享自己的技术经验,还可以向其他行业专业人士学习。在CSDN上写出优秀的博客可以…

管理如何实现制度流程化 流程表单化 表单信息化 信息标准化?

业务化、流程化、信息化、数字化、自动化、智能化,是企业业务管理发展路径的六个必经阶段 制度业务化,业务表单化,表单流程化、流程信息化、信息标准化、标准制度华。 制度流程化、流程表单化、表单信息化、信息标准化、标准制度华。 管理…

Linux软件安装包管理器yum

Linux软件安装 Linux软件安装的本质 ​ 对于安装软件最基本的理解就是把可执行程序拷贝到指定路径下,我们知道直接输入指令就可以实现想要的功能,这些指令本质上都是放在指定路径下的可执行文件,如果我们把写好的程序编译后的可执行文件放到…

优维低代码实践:打包发布

导语 优维低代码技术专栏,是一个全新的、技术为主的专栏,由优维技术委员会成员执笔,基于优维7年低代码技术研发及运维成果,主要介绍低代码相关的技术原理及架构逻辑,目的是给广大运维人提供一个技术交流与学习的平台。…

MES系统生产看板

在现代制造业中,生产看板是一种重要的工具,用于实时监控和管理生产过程。而随着制造执行系统(MES)的发展,生产看板已经得到了数字化的升级和优化。 一、MES系统生产看板的概述 MES系统生产看板是制造执行系统在生产现…

客服发送一条消息背后的技术和思考

一、引言 在企业客服场景中,客服发送一条消息的背后,需要考虑网络通信、前端展示、后端存储以及安全性等多个方面的技术支持,单从前端层面来说,就需要考虑到消息的显示、状态更新、稳定传输以及极限操作消息不卡顿等场景&#xf…

Iceberg 基础知识与基础使用

1 Iceber简介 1.1 概述 为了解决数据存储和计算引擎之间的适配的问题,Netflix开发了Iceberg,2018年11月16日进入Apache孵化器,2020 年5月19日从孵化器毕业,成为Apache的顶级项目。 Iceberg是一个面向海量数据分析场景的开放表格…

Adobe After Effects 2024(Ae2024)在新版本中的升级有哪些?

After Effects 2024是Adobe公司推出的一款视频处理软件,它适用于从事设计和视频特技的机构,包括电视台、动画制作公司、个人后期制作工作室以及多媒体工作室。通过After Effects,用户可以高效且精确地创建无数种引人注目的动态图形和震撼人心…

新零售实用小技巧,大神都在用!

自动售货机,作为一种融合了数字技术和零售业的创新,正迅速改变着我们的购物习惯和零售商的经营方式。 这一技术趋势不仅为零售业带来了新的商机,也为消费者提供了更为便捷和个性化的购物体验。自动售货机不再仅仅是传统的商品分发设备&#x…

教师减负神器

在传统的成绩管理模式中,教师需要手动输入、整理、分析成绩数据,工作量大且繁琐。这不仅耗费了教师大量的时间和精力,还容易出现错误。为了解决这个问题,我们可以通过各种代码和Excel来实现学生自助查询成绩的功能。 一、建立成绩…

深度学习之基于Tensorflow卷积神经网络学生课堂坐姿姿势识别系统

欢迎大家点赞、收藏、关注、评论啦 ,由于篇幅有限,只展示了部分核心代码。 文章目录 一项目简介 二、功能三、系统四. 总结 一项目简介 基于Tensorflow的卷积神经网络学生课堂坐姿姿势识别系统介绍 Tensorflow是一个流行的开源机器学习框架&#xff0c…

【深度学习项目从下载到运行】

本文只是介绍一个大致的流程,简单的介绍一个深度学习项目整体的一个从下载到运行的框架让初学者入门。 实际在运行的过程中可能会遇到各种各样的问题。 目录 代码下载python项目各个文件夹的解释一个深度学习项目要包含的各个模块配置环境命令行运行项目且看项目的参…