---
url: /zh/security/intro.md
description: CNB 代码安全扫描配置概览，包括核心概念、核心能力、使用建议和配置文件位置。
---
CNB 代码安全扫描用于在仓库中检查敏感信息和开源组件风险。默认无需额外配置；如需调整扫描范围、拆分配置或按规则处理告警，
可在仓库中新增 `.cnb/security/code_scan_config.yml`。

## 核心概念

| 概念 | 说明 |
|---|---|
| `code_scan_config.yml` | 可选的代码安全扫描配置文件，用于声明扫描范围、能力配置和 include 子文件。 |
| `.scanignore` | 可选的 gitignore 语法忽略文件，用于排除无需扫描的路径。 |
| 安全能力 | 当前对外开放 `secrets` 和 `software-composition-analysis` 两类能力。未声明的能力沿用平台默认配置。 |

## 核心能力

| 能力 | 说明 |
|---|---|
| 指定扫描范围 | 通过 `.scanignore` 或 `paths` 排除无需扫描的路径，也可以用 `!` 规则重新纳入指定路径。 |
| 关闭某个能力 | 将对应能力的 `ignoreFrom` 指向内容为 `**` 的文件，即可跳过该能力的扫描。 |
| 拆分配置 | 通过 `include` 将配置拆分到多个子文件，按模块维护。 |
| 规则化忽略告警（Beta） | 基于路径、严重级别等条件，按规则忽略符合条件的扫描结果。 |

## 使用建议

* 平台会屏蔽不同扫描引擎的 ignore 语法差异，统一使用 gitignore 风格的路径规则。
* 未提供 `code_scan_config.yml` 时，平台使用内置默认配置，扫描照常进行。
* 提交前建议先用 `validate` 插件检查配置，避免 include 路径、字段结构或忽略文件写错。

`validate` 用法见[配置文件 · 用 validate 插件自检](./config-file.md#用-validate-插件自检)。

## 文件位置

`code_scan_config.yml` 默认放在仓库的 `.cnb/security/` 目录下：

```text
<repo-root>/
├── .cnb/
│   └── security/
│       └── code_scan_config.yml
└── .scanignore       # 可选，gitignore 语法
```

## 下一步

* [快速开始](./quickstart.md) —— 启用代码安全扫描
* [配置文件](./config-file.md) —— 了解 include、合并规则和校验方式
* [语法手册](./syntax-reference.md) —— 查看字段级完整参考
