OWASP secureCodeBox 介绍

OWASP secureCodeBox 是一个自动化、可扩展的开源解决方案，用于通过简单轻量的界面集成各种安全漏洞扫描器。其使命是支持 DevSecOps 团队轻松在不同场景中实现安全漏洞测试自动化。该工具链可用于持续扫描应用，在开发过程早期发现低风险问题，从而让渗透测试人员专注于重大安全问题。

secureCodeBox 运行在 Kubernetes 上，安装需使用 Helm（Kubernetes 包管理器），也可基于 Docker 基础设施启动集成的安全漏洞扫描器。

快速开始

可在官方文档网站获取资源，包括安装指南和首次扫描教程。

支持的标签

• latest（最新稳定版本构建）
• 版本标签，如 3.0.0、2.9.0、2.8.0、2.7.0

如何使用此镜像

此 scanner 镜像需与对应的 parser 镜像配合使用，以将扫描结果解析为通用的 secureCodeBox 格式。更多详情参见项目文档。

拉取镜像

docker pull securecodebox/scanner-git-repo-scanner

Docker 部署示例

扫描 GitHub 组织仓库：

docker run --rm securecodebox/scanner-git-repo-scanner --git-type github --organization 目标组织名 --access-token 个人访问令牌

什么是 Git-Repo-Scanner

Git-Repo-Scanner 是一个小型 Python 脚本，用于发现 GitHub 或 GitLab 上的仓库。其主要用途是为 gitleaks 和 semgrep 扫描器提供级联输入。

扫描器配置

扫描器选项分为 GitHub 和 GitLab 两组，可通过 --git-type 指定仓库类型：

--git-type github  # 或 Gitlab

GitHub 配置

适用于 GitHub 类型的选项：

• --organization：需扫描的 GitHub 组织名称（必填）
• --url：GitHub Enterprise 服务器的 API URL（公共 GitHub 可省略）
• --access-token：个人访问令牌（需 repo 权限以访问私有仓库，否则 repo:status 和 public_repo 权限足够，建议提供以避免速率限制）
• --ignore-repos：需忽略的 GitHub 仓库 ID 列表
• --obey-rate-limit：是否遵守 GitHub 服务器速率限制（默认 True）
• --activity-since-duration：返回最近指定时长内有活动（如提交）的仓库，格式为带单位的时长字符串（如 '1h'、'2h45m'，单位：m/h/d/w）
• --activity-until-duration：返回早于指定时长前有活动的仓库，格式同上
• --annotate-latest-commit-id：是否在结果中添加主分支最新提交的 SHA1（默认 False，每个仓库会额外调用一次 API）

GitLab 配置

适用于 GitLab 类型的选项：

• --url：GitLab 服务器 URL（必填）
• --access-token：个人访问令牌（至少需 read_api 和 read_repository 权限，必填）
• --group：需扫描的 GitLab 组 ID（包括子组，不指定则扫描所有项目）
• --ignore-groups：需忽略的 GitLab 组 ID 列表
• --ignore-repos：需忽略的 GitLab 项目 ID 列表
• --obey-rate-limit：是否遵守 GitLab 服务器速率限制（默认 True）
• --activity-since-duration：同 GitHub 选项
• --activity-until-duration：同 GitHub 选项
• --annotate-latest-commit-id：同 GitHub 选项

社区

欢迎通过以下渠道参与：

• GitHub
• OWASP Slack（#project-securecodebox 频道）

• ---

secureCodeBox 是官方 OWASP 实验室项目。

许可证

![许可证]([***]

与所有 Docker 镜像一样，本镜像可能包含其他软件，这些软件可能采用其他许可证（如基础发行版中的 Bash 等，以及主要软件的直接或间接依赖项）。使用本镜像时，用户有责任确保其使用符合所有包含软件的相关许可证。