Veracode中文网站 > 使用教程 > Veracode策略扫描怎么配置 Veracode策略阻断条件怎么调整
教程中心分类
最新资讯
使用教程
热门推荐
新手入门
Veracode策略扫描怎么配置 Veracode策略阻断条件怎么调整
发布时间:2026/06/01 13:19:15

  Veracode的安全策略,是用来给应用的安全要求,做一个统一的定义,等到扫描跑完了以后,平台就会按照这个应用绑定的策略,去判断它到底算不算通过了;在策略里面定的那些约束条件,会决定着到底是哪些漏洞、什么严重级别的、还有哪一类的扫描,会去影响到最终的合规结果。

  一、策略扫描要怎么配置

 

  在动手去配置策略扫描之前,要先把一件事给确认下来,那就是应用已经建好了,传上去的包也能被平台正常地认出来,而且扫描的类型,也跟你项目当前所处的阶段是吻合的,策略扫描,它比较适合用在正式的版本、快要准备发布的版本,还有那些需要留下合规证据的版本上面,可不太建议,把每天调试当中产生的那些临时代码,也直接就拿去当策略扫描来处理。

 

  1、先把应用给创建好,或者是选好一个

 

  在进到Veracode的平台以后,先去应用的列表里面,找到你这次要用的那个项目,然后去确认一下,应用的名字、它属于哪条业务线、负责人是谁,还有它那个关键性的分类,这些都没有填错,因为策略这个东西,一般是会结合着应用本身的风险,还有业务的重要程度,来一起设置的,要是应用本身的分类就不对,那后面策略到底是该严还是该松,也就容易跟着跑偏了。

 

  2、去把安全策略给绑定上

 

  在应用的配置里面,去找到跟策略有关的设置,然后给这个应用,选上一个合适的安全策略,Veracode的策略,是可以去设置像严重的级别、缺陷的类型、还有扫描的类型,这些约束条件的,等到应用扫描跑完了以后,就会按照这些个条件,去判断它到底算不算通过了。

 

  3、去提交正式的扫描包

 

  把构建出来的产物给上传上去以后,要去把版本的名字、这次扫描叫什么,还有相关的说明,都给填上,像Java、.NET、前端或者是移动端的项目,在上传之前,要先去确认一下,你打的这个包,它是不是符合Veracode识别的要求,可不要把源码、依赖包,还有编译出来的东西,随便地就给压到一起去交了,等扫描被发起以后,也要再去确认一下,这一次跑的,确实是那种正式的基线扫描,而不是那种只用来给开发做验证的临时扫描。

 

  4、去查看策略跑出来的结果

 

  当扫描跑完了以后,去看一看策略的状态、扫出来的缺陷列表、都是什么严重级别的、对应的是哪种缺陷分类,还有它给出的修复建议,在去看的时候,不要只是盯着它有没有通过,还要再去看一看,到底是哪些问题,触发了策略的失败,又有哪些问题,虽然还待在那里,但是暂时,还没有去触发那个阻断的规则。

 

  二、策略的阻断条件要怎么调整

 

  在调整阻断条件的时候,可不能只为了让眼下的这个版本能顺利通过,就去把要求往低了降,一种比较合理的做法是,按照项目所处的阶段、应用本身的风险高低、版本发布的节奏,还有团队修复的能力,去分着层次来设置,让策略既能稳稳地拦住那些真正的风险,又不至于,把开发的流程给长时间地卡死在那里。

 

  1、按照严重的级别来设置

 

  一种比较常见的做法,是先把那些严重级别很高的问题,给拦下来,然后再一步一步地,把范围给扩展到中等级别的问题上去,在Veracode策略的约束规则里面,是可以按照扫描的类型,还有严重的级别去设置的,一个应用要是想通过策略,那它就不能存在着,已经达到了,或者是超过了,指定严重级别的那些发现项。

 

  2、按照缺陷的类型来设置

 

  有些项目,它不想那么简单地,只按照严重的级别去拦,而是想把像SQL注入、命令注入、硬编码的凭据、路径遍历这一类的风险,给重点地挡住,碰到这种情况,就可以在策略里面,按照缺陷分类的编号,或者是那一类问题的分类,去设好约束的条件,一旦有命中了这些指定编号的问题,就会影响到策略能不能通过。

  3、按照扫描的类型,分开来设置

 

  静态扫描、动态扫描、软件组成分析,还有手工的渗透测试,这几种扫描,它们对应的风险口径,是不一样的,所以那个阻断的条件,可不要全都给混到一块儿去,就比如说,在正式发布以前,要求静态扫描不能有高危的问题;而对于开源的组件,则是按照CVSS的分数,或者是组件阻断的清单来另行处理,在软件组成分析的规则里面,是可以按照CVSS的分数、漏洞的严重级别,还有那种组件的阻断清单,去设置要求的。

 

  4、去设好一个修复的宽限期

 

  策略这个东西,它也不是只能立刻就把人给拦住的,也是可以结合着修复的周期,来灵活处理的,在Veracode风险管理的说明里,也提到了,策略的约束是会配合着宽限期来的,它的作用,就是给团队留出一段合理的时间,去把问题给修好,然后再恢复到合规的状态,对于那些遗留问题已经比较多的老项目,是可以先给历史的问题,定好一个修复的计划,而对于新增的高风险问题,还是要保持立刻阻断的。

 

  三、策略扫描的结果要怎么复核

 

  当策略扫描的结果出来了以后,不要只是把报告的截图,给存下来就算了,真正有用的事情,是要把策略给出的结论、触发了哪一条规则、修东西的责任该归到谁头上,还有最后发布的决策,这好几样东西,给连到一块儿去。

 

  1、把新增的问题和历史的问题,给区分开

 

  要是策略跑失败了,那要先去看一看,那个导致失败的问题,到底是这一次新冒出来的,还是说在旧的版本里面,它就已经存在了,一般来说,新增的问题,是应该要优先去阻断的;而历史遗留的问题呢,则是要结合着风险接受的程度、已经定好的修复计划,还有宽限期,去一起处理。

 

  2、去检查一下流水线那边的阻断口径

 

  Veracode它是可以被集成到CI/CD的流程里面去的,用这个集成,就是要在发现有违反了策略的安全问题时,去把流水线给停下来,就比如说,在Jenkins里面,把它配置成了要等着扫描跑完,并且得是通过了策略才行,要是扫描没跑完,或者是没有通过策略,那这一次的构建,就会被判成是失败的。

 

  3、去把调整的记录都给归档好

 

  每一次,当你要去调整策略的阻断条件的时候,都要把为什么要调、影响的范围有多大、是谁批准的,还有从什么时候开始生效,这些都给记录下来,尤其是,当你要把阻断的条件往低了降的时候,一定得去说明白,这到底是一个阶段性的处理办法、是正式地接受了这个风险,还是说,只是因为策略本身给配错了,才做的修正,可不能到最后,就只剩下一个,改完了以后的、光秃秃的结果。

  总结

 

  要去配置策略扫描,就得先把应用给建好、给它绑上合适的策略、再提交正式的扫描包,然后,再根据策略跑出来的结果,去判断是不是可以发布了,在调整策略的阻断条件时,是可以从严重的级别、缺陷的类型、扫描的类型、软件组成分析的分数,还有修复的宽限期,这几个地方去下手,但是,不能只为了能让扫描通过,就随随便便地去把规则给放松了,一种更稳当的做法,是要把新冒出来的高风险问题,当成是阻断的重点,把那些历史遗留的问题,给放进修复的计划里,并且,每一次对策略做了什么调整,都要把审批的记录,还有说明,给好好地留下来。

135 2431 0251