热门搜索:
42crunch/docker-api-security-audit
42crunch
42Crunch REST API静态安全测试Docker镜像可在CI/CD管道中添加自动静态应用安全测试任务,检查OpenAPI定义文件的质量和安全性,基于300+项最佳实践和漏洞检查提供审计分数,默认成功阈值75分。
下载次数: 0状态:社区镜像维护者:42crunch仓库类型:镜像最近更新:11 个月前
让 AI 帮你使用轩辕镜像? · 展开查看说明
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
42Crunch REST API静态安全测试通用Docker镜像
概述和主要用途
42Crunch REST API静态安全测试Docker镜像允许您在CI/CD管道中添加自动静态应用安全测试(SAST)任务。该镜像创建Docker容器,检查OpenAPI定义文件的质量和安全性。
此Docker镜像由42Crunch API安全审计提供支持。安全审计对API定义执行静态分析,包括300多项检查,涉及最佳实践以及API在认证、授权、传输和数据进出方面的潜在漏洞。
安全测试的结果会为您的API提供审计分数,100分表示最安全、定义最佳的API。默认情况下,容器成功终止的阈值分数为每个被审计API 75分,但您可以在容器配置中更改最低分数。
API契约必须遵循OpenAPI规范(OAS,前身为Swagger)。支持OAS v2和v3,以及JSON和YAML格式。
您可以在[***]
核心功能和特性
- 自动SAST集成:无缝集成到CI/CD管道,实现API定义的自动化安全测试
- 全面安全检查:300+项检查覆盖认证、授权、传输安全和数据验证等方面
- 审计分数评估:提供0-100分的审计分数,直观反映API安全状况
- 灵活阈值设置:可自定义最低分数阈值,控制测试通过标准
- 多格式支持:兼容OpenAPI v2/v3规范,支持JSON和YAML格式文件
- 智能API发现:自动定位容器工作目录中的OpenAPI文件,支持路径包含/排除规则
- 配置文件支持:通过42c-conf.yaml文件微调发现规则和成功/失败标准
- 版本控制集成:与源代码控制的分支、标签和PR信息关联,保持API集合同步
使用场景和适用范围
- CI/CD管道中的API安全门禁:在代码合并或部署前自动检查API定义安全性
- API开发质量控制:确保团队遵循API安全最佳实践
- 开源API项目安全验证:为公开API提供安全审计保障
- 企业API治理:统一API安全标准,监控安全分数变化
- 多分支/版本管理:为不同开发分支、发布标签配置差异化安全策略
发现API
默认情况下,容器会在其当前工作目录中定位所有OpenAPI文件,并提交它们进行静态安全测试。您可以在发现阶段包含或排除特定路径,也可以通过在仓库根目录添加配置文件42c-conf.yaml并指定发现阶段规则来完全省略发现阶段。有关详细信息,请参阅文档。
所有发现的API都会上传到42Crunch平台的API集合中。容器使用多个环境变量(如下所述)来显示API集合源自的仓库以及分支/标签/PR名称。在后续容器运行期间,集合中的API会与仓库中的更改保持同步。
微调容器
您可以在仓库根目录添加配置文件42c-conf.yaml,以微调成功/失败标准。例如,您可以选择是否接受无效的API契约,或定义特定级别问题严重性的临界值。
您可以为仓库中的不同分支/标签/PR定义不同的配置。在指定配置适用的分支时,可以使用分支的全名(例如master)或通配符(例如release-*)。
使用Docker命令行执行审计
以下是Docker的最小命令行,用于审计本地文件系统目录中的所有OpenAPI文件。
容器假设文件来自源代码控制仓库,因此必须始终提供仓库URL和分支/标签/PR信息。此信息用于在42Crunch平台上创建或查找(后续运行时)API集合。
shdocker run \ -v <OPENAPI文件目录>:/workspace \ -e X42C_REPOSITORY_URL=https://github.com/我的公司/我的-openapi仓库 \ -e X42C_API_TOKEN=<令牌> \ -e X42C_BRANCH_NAME=master \ 42crunch/docker-api-security-audit:v3
环境变量
| 变量 | 用途 |
|---|---|
| X42C_REPOSITORY_URL (*) | 源代码控制仓库URL。用于在42Crunch平台上标识API集合。 |
| X42C_BRANCH_NAME (**) | 源代码控制分支名称。 |
| X42C_TAG_NAME (**) | 源代码控制标签名称。 |
| X42C_PR_ID (**) | 源代码控制PR ID。 |
| X42C_PR_TARGET_BRANCH | 源代码控制PR目标分支名称。 |
| X42C_API_TOKEN (*) | 访问42Crunch平台的API令牌。这是敏感机密,需要安全存储。 |
| X42C_MIN_SCORE | OpenAPI文件的最低分数。默认值:75。 |
| X42C_PLATFORM_URL | 42Crunch平台URL。默认值:[***] |
| X42C_DEFAULT_COLLECTION_NAME | 创建发现的API集合时使用的默认集合名称。 |
| X42C_LOG_LEVEL | 日志级别,可选值:FATAL、ERROR、WARN、INFO、DEBUG。默认值:INFO。 |
| X42C_SHARE_EVERYONE | 与所有人共享新API集合,可选值:OFF、READ_ONLY、READ_WRITE。默认值:OFF。 |
| X42C_ROOT_DIRECTORY | 默认情况下,容器在其/workspace目录中查找OpenAPI文件和42c-conf.yaml配置文件。通过设置此变量,您可以配置审计使用不同的目录。 |
(*) = 必填变量。
(**) = 必须设置其中一项。如果设置了X42C_PR_ID,则还必须设置X42C_PR_TARGET_BRANCH。
前提条件
在42Crunch平台中创建API令牌。
支持
该镜像由***维护。如果您遇到问题或有未在此处解答的问题,可以在support.42crunch.com创建支持工单。
报告问题时,请包含:
- 镜像的版本标签
- 相关日志和错误消息
- 重现问题的步骤
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 docker-api-security-audit 镜像标签
docker pull docker.xuanyuan.run/42crunch/docker-api-security-audit:<标签>
DockerHub 原生拉取命令
docker pull 42crunch/docker-api-security-audit:<标签>
镜像拉取常见问题
功能
错误码
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"