NUK工程生产力Checkmarx仓库镜像文档

镜像概述

NUK工程生产力Checkmarx仓库镜像是专为工程团队设计的生产力工具镜像，核心功能是集成Checkmarx静态应用安全测试（SAST）工具，提供代码安全检测与仓库管理能力。该镜像旨在支持开发团队在日常开发流程中无缝集成安全测试环节，减少人工操作成本，提升代码质量与安全合规性，同时优化工程生产力。

核心功能与特性

1. Checkmarx深度集成

• 内置Checkmarx客户端工具，支持与Checkmarx服务器无缝通信
• 预配置常用Checkmarx扫描策略，减少初始配置成本
• 支持Checkmarx REST API调用，实现自动化操作

2. 自动化代码安全检测

• 支持定时或触发式代码安全扫描，集成至开发流程
• 自动生成扫描报告，包含漏洞等级、位置及修复建议
• 支持与代码仓库（如Git）联动，检测指定分支或提交记录

3. 工程仓库管理

• 提供仓库级别的安全检测配置管理
• 支持多仓库并行扫描与结果聚合
• 集成版本控制，跟踪安全检测历史记录

4. 生产力优化特性

• 简化安全检测流程，减少人工干预
• 提供团队协作功能，支持安全问题分配与跟踪
• 兼容主流CI/CD工具（如Jenkins、GitLab CI），实现流程自动化

使用场景与适用范围

适用场景

• CI/CD流程集成：在持续集成/持续部署流程中嵌入代码安全检测环节，确保合并代码符合安全标准
• 团队代码审查：作为代码审查前置步骤，自动检测安全漏洞，辅助审查决策
• 安全合规检查：满足组织或行业安全合规要求，定期生成安全检测报告
• 开发流程优化：减少开发团队在安全检测上的手动操作时间，提升整体开发效率

适用范围

• NUK内部工程团队及相关项目
• 使用Checkmarx进行代码安全管理的开发团队
• 需要在开发流程中集成自动化安全检测的组织

使用方法与配置说明

环境要求

• Docker Engine 20.10+
• 网络连通性：可访问Checkmarx服务器及目标代码仓库
• 资源要求：至少2GB RAM，4GB可用磁盘空间

基本使用（docker run）

docker run -d \
  --name checkmarx-repo-nuk \
  -e CHECKMARX_URL="[***]" \
  -e API_TOKEN="your-checkmarx-api-token" \
  -e REPO_PATH="/path/to/your/code/repo" \
  -e SCAN_INTERVAL="daily" \
  nuk-engineering/productivity-checkmarx-repo:latest

核心环境变量配置

Docker Compose配置示例

version: '3'
services:
  checkmarx-repo:
    image: nuk-engineering/productivity-checkmarx-repo:latest
    container_name: checkmarx-repo-service
    environment:
      - CHECKMARX_URL=[***]
      - API_TOKEN=your-checkmarx-api-token
      - REPO_PATH=***:nuk-engineering/example-repo.git
      - SCAN_INTERVAL=hourly
      - SCAN_BRANCH=develop
      - REPORT_FORMAT=html
    volumes:
      - ./scan-reports:/app/reports  # 挂载报告存储目录
    restart: unless-stopped

扫描报告访问

容器运行后，扫描报告默认存储于/app/reports目录。通过挂载本地目录（如上述docker-compose示例中的./scan-reports），可在宿主机访问报告文件。报告包含漏洞详情、风险等级及修复建议，支持团队进行针对性修复。

注意事项

• API_TOKEN需具备Checkmarx扫描及报告生成权限，建议使用最小权限原则配置
• 首次运行需确保Checkmarx服务器与目标仓库可访问，网络超时可能导致初始化失败
• 扫描间隔建议根据项目迭代频率调整，高频迭代项目可配置为触发式扫描（通过CI/CD触发）
• 报告文件建议定期备份，避免容器重启导致数据丢失（推荐使用持久化卷挂载）