507 字约 2 分钟
CNB 代码安全扫描用于在仓库中检查敏感信息和开源组件风险。默认无需额外配置;如需调整扫描范围、拆分配置或按规则处理告警, 可在仓库中新增 .cnb/security/code_scan_config.yml。
核心概念
| 概念 | 说明 |
|---|---|
code_scan_config.yml | 可选的代码安全扫描配置文件,用于声明扫描范围、能力配置和 include 子文件。 |
.scanignore | 可选的 gitignore 语法忽略文件,用于排除无需扫描的路径。 |
| 安全能力 | 当前对外开放 secrets 和 software-composition-analysis 两类能力。未声明的能力沿用平台默认配置。 |
核心能力
| 能力 | 说明 |
|---|---|
| 指定扫描范围 | 通过 .scanignore 或 paths 排除无需扫描的路径,也可以用 ! 规则重新纳入指定路径。 |
| 关闭某个能力 | 将对应能力的 ignoreFrom 指向内容为 ** 的文件,即可跳过该能力的扫描。 |
| 拆分配置 | 通过 include 将配置拆分到多个子文件,按模块维护。 |
| 规则化忽略告警(Beta) | 基于路径、严重级别等条件,按规则忽略符合条件的扫描结果。 |
使用建议
- 平台会屏蔽不同扫描引擎的 ignore 语法差异,统一使用 gitignore 风格的路径规则。
- 未提供
code_scan_config.yml时,平台使用内置默认配置,扫描照常进行。 - 提交前建议先用
validate插件检查配置,避免 include 路径、字段结构或忽略文件写错。
validate 用法见配置文件 · 用 validate 插件自检。
文件位置
code_scan_config.yml 默认放在仓库的 .cnb/security/ 目录下:
<repo-root>/
├── .cnb/
│ └── security/
│ └── code_scan_config.yml
└── .scanignore # 可选,gitignore 语法