Хватит копировать security YAML: AppSec-слой для Java-проектов через Gradle convention plugin
NicholasKuzya 22 минуты назад Хватит копировать security YAML: AppSec-слой для Java-проектов через Gradle convention plugin Простой 9 мин 630 Информационная безопасность * Java * Gradle * Git * Кейс Практический разбор...
Anthropic — What company has the best second artificial intelligence model at the end of June?
В сфере искусственного интеллекта произошло заметное событие. NicholasKuzya 22 минуты назад Хватит копировать security YAML: AppSec-слой для Java-проектов через Gradle convention plugin Простой 9 мин 630 Информационная безопасность * Java * Gradle * Git * Кейс Практический разбор того, как я вынес security-проверки Java-проектов из разрозненных CI/CD-скриптов в переиспользуемый Gradle convention plugin. ВступлениеСамая сложная часть Java AppSec обычно не в том, чтобы найти еще один сканер. Сканеры у команд и так часто есть.
Есть SonarQube для анализа кода. Есть OWASP Dependency-Check для проверки зависимостей. Есть CycloneDX для SBOM.
Технические детали
Есть JaCoCo или Kover для покрытия. Есть GitLab CI, Jenkins, TeamCity, GitHub Actions или какой-нибудь внутренний CI, который все это запускает. И все равно процесс начинает разъезжаться.
Один сервис кладет Dependency-Check-отчеты в одну директорию. Второй генерирует только HTML. Третий правильно передает merge request metadata в SonarQube.
Четвертый гоняет все как обычную branch analysis. Один проект делает SBOM только по runtime-зависимостям. Другой включает test-зависимости и получает шумный отчет.
Отраслевые последствия
В multi-module проекте появляется исключение, кто-то копирует кусок YAML из соседнего репозитория, чуть правит, и так оно живет дальше. В первый день это не выглядит проблемой. Через несколько месяцев это уже нормальный такой дрейф security build-процесса.
И вот эту проблему я хотел закрыть через secure-build-gradle-plugin. А слоем build tooling, который стандартизирует, как существующие AppSec-инструменты подключаются к Gradle-проекту. Проект: Secure Build Gradle PluginПроблема, которую я хотел убратьОбычно DevSecOps начинается с CI/CD YAML.
Для одного Java-сервиса это нормальный старт:script: - . /gradlew dependencyCheckAnalyze - . /gradlew cyclonedxBom - .
Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.
