securecodebox/hook-persistence-defectdojo

镜像概述和主要用途

OWASP secureCodeBox的DefectDojo持久化钩子（hook-persistence-defectdojo）是一个与secureCodeBox配合使用的镜像，旨在将安全扫描结果自动导入到OWASP DefectDojo中。作为secureCodeBox生态的一部分，它通过集成DefectDojo的漏洞管理能力，帮助DevSecOps团队集中管理、跟踪和响应安全漏洞，提升安全测试流程的自动化和效率。

核心功能和特性

• 自动导入扫描结果：通过DefectDojo API v2将secureCodeBox的扫描报告导入DefectDojo，支持自动去重等DefectDojo核心功能。
• 多扫描类型支持：兼容secureCodeBox和DefectDojo均支持的扫描类型，包括Nmap、Nikto、ZAP Automation Scan、SSLyze、Trivy、Gitleaks、Semgrep等（完整列表可参考https://github.com/secureCodeBox/secureCodeBox/blob/main/hooks/persistence-defectdojo/hook/src/main/java/io/securecodebox/persistence/util/ScanNameMapping.java%EF%BC%89%E3%80%82
• 发现结果覆盖：导入后，DefectDojo解析的发现结果会覆盖secureCodeBox原有的发现结果，包含误报状态、重复状态等元数据，便于后续钩子（如Slack通知）基于这些元数据过滤处理。
• 灵活配置：支持只读模式（防止覆盖发现结果）、钩子执行优先级控制、按扫描类型选择性禁用等高级配置。

使用场景和适用范围

适用于采用DevSecOps实践的团队，需在安全测试流程中实现漏洞集中管理的场景：

• 自动化安全扫描后需将结果统一存储到DefectDojo进行跟踪的场景；
• 需要利用DefectDojo的去重、优先级排序等功能优化漏洞管理的场景；
• DevSecOps流水线中需基于扫描结果元数据（如非误报、非重复漏洞）触发后续操作的场景。

详细使用方法和配置说明

支持的标签

• latest：最新稳定版本构建
• 版本化标签，如3.0.0、2.9.0、2.8.0、2.7.0等

拉取镜像

bash
docker pull securecodebox/hook-persistence-defectdojo

使用说明

该钩子镜像需与secureCodeBox的解析器镜像配合使用，通过读取原始扫描结果并调用DefectDojo API完成导入。使用前需确保DefectDojo服务可访问，并正确配置API地址、令牌等参数（具体配置方法见secureCodeBox文档）。

注意事项

• 扫描类型兼容性：仅双方均支持的扫描类型可完全利用DefectDojo功能（如去重）；非支持类型将使用通用导入器，可能导致结果展示简化或部分发现丢失。
• 钩子执行顺序：默认情况下，多个读写钩子（ReadAndWrite Hooks）的执行顺序不固定，可能导致“更新丢失”（DefectDojo钩子覆盖其他钩子的修改）。secureCodeBox 3.4.0+可通过钩子优先级控制执行顺序。
• 数据安全配置：
  • 启用只读模式：安装时设置--set defectdojo.syncFindingsBack=false，可防止钩子覆盖secureCodeBox发现结果，避免数据丢失风险（但DefectDojo内的去重问题仍可能存在）。
  • 选择性禁用：secureCodeBox 3.4.0+可通过钩子选择器针对特定扫描禁用该钩子，适用于非兼容扫描类型。

社区支持

该项目为OWASP实验室项目，社区支持资源包括：

• GitHub：https://github.com/secureCodeBox/
• OWASP Slack（#project-securecodebox频道）：[***]
• ：[]

许可证

基于Apache-2.0许可证发布（[***]