持續整合與持續部署管線的成熟度直接影響軟體開發團隊的交付能力與產品品質。基礎的單元測試與程式碼品質檢查雖然能夠捕捉常見的邏輯錯誤與風格問題,但對於複雜的邊界情況與潛在的安全漏洞,則需要更進階的測試與掃描技術。模糊測試透過生成大量隨機或變異輸入,探索程式在異常條件下的行為表現,發現傳統測試案例難以覆蓋的錯誤路徑。多層次安全掃描從靜態程式碼分析、機密資訊洩漏檢測、到依賴套件漏洞評估,構建全方位的安全防護體系。
然而,隨著測試與掃描任務的增加,管線的執行時間可能顯著延長,影響開發週期的迭代速度。有向無環圖技術透過精確定義任務間的依賴關係,允許無相依性的任務並行執行,大幅縮短整體管線時間。配置檔案的複雜度隨著專案成長而增加,模組化管理策略透過將相關任務抽離至獨立檔案,提升可讀性與重複利用性。自動化部署流程的建構則確保經過完整驗證的程式碼能夠安全且一致地推送至目標環境。
GitLab CI/CD 平台提供完整的工具鏈支援這些進階實踐。內建的模糊測試框架整合簡化了測試目標的編寫與執行配置。豐富的安全掃描範本涵蓋多種掃描類型,透過簡單的配置即可啟用。彈性的管線定義語法支援有向無環圖的構建與任務依賴的精確控制。配置檔案的包含機制允許跨專案共享標準化配置。基於規則的任務執行控制實現靈活的部署策略。本文將深入探討這些技術的實作細節與最佳實踐,協助讀者建構高效且安全的軟體交付管線。
模糊測試技術的原理與實作
模糊測試作為一種動態程式分析技術,其核心思想是透過自動生成大量測試輸入,探索程式在異常或邊界條件下的行為。相較於傳統的單元測試需要開發者精心設計測試案例,模糊測試採用隨機或基於變異的策略生成輸入資料,能夠發現開發者未預期的執行路徑與潛在缺陷。這種方法特別適用於處理外部輸入的函式,例如網路協定解析器、檔案格式處理器、以及使用者輸入驗證邏輯。
模糊測試的技術實作可分為黑箱與白箱兩種策略。黑箱模糊測試不依賴程式碼內部結構,純粹透過觀察程式對不同輸入的反應來判斷是否存在問題。這種方法實作簡單但效率較低,因為隨機生成的輸入可能大部分都無法通過程式的基本輸入驗證。白箱模糊測試則結合程式碼覆蓋率分析,透過追蹤測試執行路徑,智慧地生成能夠觸發新程式碼路徑的輸入資料。這種方法效率較高,但需要在測試過程中收集執行時期資訊,增加了實作複雜度。
在實務應用中,模糊測試的效果取決於多個因素。測試目標的選擇需要聚焦於處理不可信輸入的關鍵函式,這些函式的安全性直接影響整體系統的穩定性。輸入生成策略影響測試的覆蓋範圍,純隨機生成簡單但可能無法觸及深層邏輯,基於語法的生成能夠產生更符合預期格式的輸入。執行時間預算需要在測試深度與管線效率間取得平衡,過長的測試時間延遲回饋週期,過短則可能遺漏重要缺陷。異常檢測機制決定了何種程式行為被視為錯誤,典型的異常包括程式崩潰、記憶體錯誤、無限迴圈或未處理的例外。
#!/usr/bin/env python3
"""
使用者身分驗證模組
提供基本的登入功能與輸入驗證
"""
import re
from typing import Optional
def authenticate_user(username: str, password: str) -> bool:
"""
驗證使用者登入憑證
參數:
username: 使用者名稱,長度應在 3-20 字元之間
password: 使用者密碼,長度應在 8-128 字元之間
返回:
驗證成功返回 True,驗證失敗返回 False
注意:
此為示範實作,實際應用應使用安全的密碼雜湊與資料庫查詢
"""
# 輸入長度驗證
if not (3 <= len(username) <= 20):
return False
if not (8 <= len(password) <= 128):
return False
# 使用者名稱格式驗證:僅允許字母、數字與底線
if not re.match(r'^[a-zA-Z0-9_]+$', username):
return False
# 硬編碼的測試憑證(實務應查詢資料庫)
valid_credentials = {
"admin": "SecureAdmin123",
"dana": "p@ssw0rd2024",
"test_user": "TestPass123"
}
# 驗證憑證
return valid_credentials.get(username) == password
def validate_username_format(username: str) -> tuple[bool, Optional[str]]:
"""
驗證使用者名稱格式的合法性
參數:
username: 待驗證的使用者名稱
返回:
(驗證結果, 錯誤訊息) 元組
驗證通過返回 (True, None)
驗證失敗返回 (False, 錯誤描述)
驗證規則:
- 長度介於 3-20 字元
- 僅包含字母、數字與底線
- 不可以數字開頭
"""
# 長度檢查
if len(username) < 3:
return False, "使用者名稱長度不得少於 3 個字元"
if len(username) > 20:
return False, "使用者名稱長度不得超過 20 個字元"
# 字元類型檢查
if not re.match(r'^[a-zA-Z0-9_]+$', username):
return False, "使用者名稱僅允許包含字母、數字與底線"
# 首字元檢查
if username[0].isdigit():
return False, "使用者名稱不可以數字開頭"
return True, None
#!/usr/bin/env python3
"""
模糊測試目標實作
使用 PythonFuzz 框架對登入功能進行模糊測試
"""
from login import authenticate_user, validate_username_format
from pythonfuzz.main import PythonFuzz
@PythonFuzz
def fuzz_authenticate_user(data: bytes) -> None:
"""
模糊測試目標:驗證身分驗證函式的穩定性
參數:
data: 隨機生成的位元組序列
測試策略:
將輸入位元組序列分割為兩部分
前半部分作為使用者名稱,後半部分作為密碼
觀察函式是否能夠正確處理各種異常輸入
"""
try:
# 將位元組序列解碼為 UTF-8 字串
# 捕捉無效的 UTF-8 序列並跳過
input_string = data.decode('utf-8')
# 將字串分割為使用者名稱與密碼兩部分
split_point = len(input_string) // 2
username = input_string[:split_point]
password = input_string[split_point:]
# 呼叫待測試的函式
# 任何未預期的例外都會被模糊測試框架捕捉
result = authenticate_user(username, password)
# 驗證返回值類型正確
assert isinstance(result, bool), "函式應返回布林值"
except UnicodeDecodeError:
# 忽略無效的 UTF-8 序列
# 這是預期行為,不視為缺陷
pass
except AssertionError as error:
# 重新拋出斷言錯誤,確保被記錄
raise error
except Exception as error:
# 記錄任何其他未預期的例外
# 這可能指示程式碼存在錯誤處理問題
print(f"未預期的例外: {type(error).__name__}: {error}")
raise error
@PythonFuzz
def fuzz_validate_username(data: bytes) -> None:
"""
模糊測試目標:驗證使用者名稱格式檢查函式
參數:
data: 隨機生成的位元組序列
測試策略:
直接將輸入資料作為使用者名稱
驗證函式對各種格式輸入的處理能力
"""
try:
# 解碼輸入資料
username = data.decode('utf-8')
# 呼叫驗證函式
is_valid, error_message = validate_username_format(username)
# 驗證返回值格式
assert isinstance(is_valid, bool), "第一個返回值應為布林值"
assert error_message is None or isinstance(error_message, str), \
"第二個返回值應為字串或 None"
# 驗證邏輯一致性
if is_valid:
assert error_message is None, "驗證通過時不應有錯誤訊息"
else:
assert error_message is not None, "驗證失敗時應提供錯誤訊息"
except UnicodeDecodeError:
# 忽略無效的 UTF-8 序列
pass
# 主程式入口點
if __name__ == '__main__':
# 執行模糊測試
# 框架會自動生成測試輸入並監控程式行為
print("開始執行身分驗證函式的模糊測試")
fuzz_authenticate_user()
GitLab CI/CD 管線中的模糊測試整合
將模糊測試整合至 GitLab CI/CD 管線需要在配置檔案中定義專門的測試階段與任務。GitLab 提供官方維護的模糊測試範本,包含預配置的執行環境與工具鏈,簡化整合過程。範本中定義的基礎任務包含模糊測試引擎的安裝、測試目標的編譯與執行、以及結果的收集與報告。使用者需要透過繼承基礎任務並覆寫特定設定,客製化符合專案需求的測試配置。
模糊測試的執行時間是實務應用中的重要考量。預設配置通常設定較長的測試時間以最大化缺陷發現機率,但這可能導致管線執行時間過長,延遲開發回饋週期。透過環境變數調整測試參數,例如限制生成的測試案例數量或執行時間上限,可以在測試深度與管線效率間取得平衡。對於關鍵的安全敏感函式,可以配置定期執行的深度模糊測試任務,在非緊急的時間窗口內進行長時間測試。
# GitLab CI/CD 管線配置:模糊測試整合
# 包含 GitLab 官方的模糊測試範本
# 提供預配置的基礎任務與執行環境
include:
- template: Security/Coverage-Fuzzing.gitlab-ci.yml
# 定義管線執行階段
stages:
- build # 建構階段:編譯程式碼與準備測試環境
- test # 測試階段:執行單元測試與整合測試
- fuzz # 模糊測試階段:執行模糊測試任務
- security # 安全階段:執行安全掃描
- deploy # 部署階段:將程式碼部署至目標環境
# 全域變數:模糊測試執行參數
variables:
# 限制模糊測試的輸入案例數量
# 預設值通常為數萬或更多,調整此值平衡測試深度與時間
FUZZ_RUNS: "10000"
# 模糊測試超時時間(秒)
# 防止單一測試案例執行過長時間
FUZZ_TIMEOUT: "300"
# 任務:身分驗證函式的模糊測試
fuzz-authentication-function:
# 指定任務所屬階段
stage: fuzz
# 繼承基礎模糊測試任務的配置
# 獲得預配置的執行環境與工具
extends: .fuzz_base
# 使用 Python 3.10 執行環境
image: python:3.10-slim
# 任務執行前的準備步驟
before_script:
# 更新 pip 套件管理器
- python -m pip install --upgrade pip
# 安裝專案依賴
- pip install -r requirements.txt
# 安裝 PythonFuzz 模糊測試框架
# 從 GitLab 套件註冊表安裝
- pip install --extra-index-url https://gitlab.com/api/v4/projects/19904939/packages/pypi/simple pythonfuzz
# 安裝 GitLab 模糊測試工具
- pip install gitlab-cov-fuzz
# 任務主要執行步驟
script:
# 執行模糊測試
# --engine pythonfuzz: 指定使用 PythonFuzz 引擎
# --runs: 限制執行次數
# --timeout: 設定超時時間
# --: 後續為測試目標腳本路徑
- >
gitlab-cov-fuzz run
--engine pythonfuzz
--runs $FUZZ_RUNS
--timeout $FUZZ_TIMEOUT
-- fuzz_login_target.py
# 任務產出物配置
artifacts:
# 即使任務失敗也保留產出物
when: always
# 產出物保留期限
expire_in: 7 days
# 保留的檔案路徑
paths:
- fuzzing-artifacts/ # 模糊測試發現的異常案例
- coverage-report/ # 程式碼覆蓋率報告
# 任務執行規則
rules:
# 在合併請求中執行
- if: '$CI_PIPELINE_SOURCE == "merge_request_event"'
# 在主要分支的定時排程中執行(深度測試)
- if: '$CI_PIPELINE_SOURCE == "schedule" && $CI_COMMIT_BRANCH == $CI_DEFAULT_BRANCH'
variables:
# 定時任務使用更大的測試案例數
FUZZ_RUNS: "1000000"
FUZZ_TIMEOUT: "3600"
# 任務:使用者名稱驗證函式的模糊測試
fuzz-username-validation:
stage: fuzz
extends: .fuzz_base
image: python:3.10-slim
before_script:
- python -m pip install --upgrade pip
- pip install -r requirements.txt
- pip install --extra-index-url https://gitlab.com/api/v4/projects/19904939/packages/pypi/simple pythonfuzz
- pip install gitlab-cov-fuzz
script:
- >
gitlab-cov-fuzz run
--engine pythonfuzz
--runs $FUZZ_RUNS
--timeout $FUZZ_TIMEOUT
-- fuzz_username_target.py
artifacts:
when: always
expire_in: 7 days
paths:
- fuzzing-artifacts/
- coverage-report/
# 允許此任務失敗而不阻止管線繼續
# 適用於實驗性質的測試
allow_failure: true
rules:
- if: '$CI_PIPELINE_SOURCE == "merge_request_event"'
@startuml
!define PLANTUML_FORMAT svg
!theme _none_
skinparam dpi auto
skinparam shadowing false
skinparam linetype ortho
skinparam roundcorner 5
skinparam defaultFontName "Microsoft JhengHei UI"
skinparam defaultFontSize 16
skinparam minClassWidth 100
start
:模糊測試引擎初始化;
:載入測試目標函式;
repeat
:生成隨機輸入資料;
note right
基於演算法生成
可能包含變異策略
end note
:執行測試目標函式;
:監控程式執行行為;
if (偵測到異常?) then (是)
:記錄異常案例;
:儲存輸入資料;
:收集除錯資訊;
else (否)
if (發現新執行路徑?) then (是)
:更新覆蓋率統計;
:將輸入加入語料庫;
endif
endif
repeat while (是否達到執行次數?) is (否)
:生成測試報告;
:輸出覆蓋率統計;
:列出發現的缺陷;
stop
@enduml
多層次安全掃描工具的整合策略
現代應用程式的安全威脅來自多個層面,單一類型的安全檢測無法提供全面的防護。靜態應用安全測試分析原始碼結構,識別潛在的安全漏洞模式,例如 SQL 注入、跨站腳本攻擊、或不安全的密碼學實作。機密資訊偵測掃描程式碼庫,尋找意外提交的敏感資料,例如 API 金鑰、密碼、或私鑰檔案。依賴套件掃描檢查專案使用的第三方函式庫,比對已知漏洞資料庫識別存在安全問題的套件版本。授權合規檢查驗證依賴套件的授權條款,確保符合專案的授權政策,避免法律風險。
這些掃描工具的有效整合需要考慮多個實務面向。掃描範圍的界定避免對測試程式碼或第三方套件進行不必要的掃描,減少誤報並加速掃描過程。結果的優先級分類協助團隊聚焦於高風險問題,根據嚴重程度與可利用性評估修復優先順序。誤報的處理機制允許標記已驗證為誤報的結果,避免重複檢視。掃描頻率的規劃平衡安全性與管線效率,關鍵掃描在每次提交時執行,次要掃描可以定期排程執行。
靜態應用安全測試的配置與最佳化
靜態應用安全測試工具透過分析程式碼的抽象語法樹與控制流程圖,識別可能導致安全漏洞的程式碼模式。這種分析不需要實際執行程式,因此能夠在開發早期發現問題。然而,靜態分析面臨路徑爆炸問題,對於包含大量分支與迴圈的複雜程式,可能無法完整分析所有執行路徑。此外,靜態分析工具可能產生誤報,將安全的程式碼模式誤判為漏洞,需要人工審查確認。
GitLab 的 SAST 整合支援多種程式語言與框架,透過自動偵測專案的技術堆疊選擇適當的分析引擎。使用者可以透過配置變數排除特定檔案或目錄,例如測試程式碼或自動生成的檔案,這些通常不需要進行安全掃描。掃描結果會整合至合併請求介面,開發者可以直接在程式碼審查流程中檢視與處理安全問題。
# GitLab CI/CD 管線配置:多層次安全掃描整合
# 包含 GitLab 官方的安全掃描範本
include:
# 靜態應用安全測試
- template: Security/SAST.gitlab-ci.yml
# 機密資訊偵測
- template: Security/Secret-Detection.gitlab-ci.yml
# 依賴套件安全掃描
- template: Security/Dependency-Scanning.gitlab-ci.yml
# 授權合規檢查
- template: Security/License-Scanning.gitlab-ci.yml
# 全域變數:安全掃描配置
variables:
# SAST 排除路徑
# 排除測試檔案與模糊測試目標,避免誤報
SAST_EXCLUDED_PATHS: >
tests/,
test_*.py,
*_test.py,
fuzz_*.py,
*_fuzz_target.py
# Secret Detection 排除路徑
# 測試檔案中可能包含測試用的假密碼
SECRET_DETECTION_EXCLUDED_PATHS: >
tests/,
test_*.py,
fixtures/
# Dependency Scanning 配置
# 設定掃描的套件管理檔案
DS_DEFAULT_ANALYZERS: "gemnasium-python"
# License Compliance 配置
# 定義可接受的授權類型
LICENSE_MANAGEMENT_ALLOWED_LICENSES: >
MIT,
Apache-2.0,
BSD-3-Clause,
BSD-2-Clause,
ISC,
Python-2.0
# 覆寫 SAST 任務配置
# 增加自訂檢查規則
sast:
variables:
# 啟用所有安全規則
SAST_DEFAULT_ANALYZERS: "bandit"
# 設定最低嚴重程度閾值
SAST_SEVERITY: "high,critical"
# 任務執行規則
rules:
# 在合併請求中執行
- if: '$CI_PIPELINE_SOURCE == "merge_request_event"'
# 在主要分支執行
- if: '$CI_COMMIT_BRANCH == $CI_DEFAULT_BRANCH'
# 產出物配置
artifacts:
reports:
# SAST 報告會整合至 GitLab 安全儀表板
sast: gl-sast-report.json
paths:
- gl-sast-report.json
expire_in: 30 days
# 覆寫機密偵測任務配置
secret_detection:
variables:
# 啟用歷史掃描(檢查所有歷史提交)
# 警告:首次執行可能耗時較長
SECRET_DETECTION_HISTORIC_SCAN: "false"
rules:
- if: '$CI_PIPELINE_SOURCE == "merge_request_event"'
- if: '$CI_COMMIT_BRANCH == $CI_DEFAULT_BRANCH'
artifacts:
reports:
secret_detection: gl-secret-detection-report.json
paths:
- gl-secret-detection-report.json
expire_in: 30 days
# 覆寫依賴掃描任務配置
gemnasium-python-dependency_scanning:
variables:
# 設定依賴套件的可接受風險等級
DS_MAX_DEPTH: "4"
# 排除開發依賴的掃描
DS_EXCLUDED_PATHS: "tests/,docs/"
rules:
- if: '$CI_PIPELINE_SOURCE == "merge_request_event"'
- if: '$CI_COMMIT_BRANCH == $CI_DEFAULT_BRANCH'
# 每日定時掃描,監控新發現的漏洞
- if: '$CI_PIPELINE_SOURCE == "schedule"'
artifacts:
reports:
dependency_scanning: gl-dependency-scanning-report.json
paths:
- gl-dependency-scanning-report.json
expire_in: 30 days
# 覆寫授權合規任務配置
license_scanning:
rules:
# 僅在主要分支與合併請求中執行
# 授權問題通常不需要頻繁檢查
- if: '$CI_PIPELINE_SOURCE == "merge_request_event"'
- if: '$CI_COMMIT_BRANCH == $CI_DEFAULT_BRANCH'
artifacts:
reports:
license_scanning: gl-license-scanning-report.json
paths:
- gl-license-scanning-report.json
expire_in: 30 days
# 自訂任務:安全掃描結果彙整
security-report-summary:
stage: .post
image: alpine:latest
before_script:
# 安裝 jq 用於處理 JSON 報告
- apk add --no-cache jq
script:
# 統計各類型掃描發現的問題數量
- echo "=== 安全掃描結果摘要 ==="
# 處理 SAST 報告
- |
if [ -f gl-sast-report.json ]; then
sast_count=$(jq '.vulnerabilities | length' gl-sast-report.json)
echo "SAST 發現問題: $sast_count 個"
fi
# 處理機密偵測報告
- |
if [ -f gl-secret-detection-report.json ]; then
secret_count=$(jq '.vulnerabilities | length' gl-secret-detection-report.json)
echo "機密偵測發現: $secret_count 個"
fi
# 處理依賴掃描報告
- |
if [ -f gl-dependency-scanning-report.json ]; then
dep_count=$(jq '.vulnerabilities | length' gl-dependency-scanning-report.json)
echo "依賴掃描發現: $dep_count 個"
fi
# 處理授權掃描報告
- |
if [ -f gl-license-scanning-report.json ]; then
license_count=$(jq '.dependencies | length' gl-license-scanning-report.json)
echo "授權掃描檢查: $license_count 個依賴"
fi
dependencies:
- sast
- secret_detection
- gemnasium-python-dependency_scanning
- license_scanning
rules:
- if: '$CI_PIPELINE_SOURCE == "merge_request_event"'
- if: '$CI_COMMIT_BRANCH == $CI_DEFAULT_BRANCH'
@startuml
!define PLANTUML_FORMAT svg
!theme _none_
skinparam dpi auto
skinparam shadowing false
skinparam linetype ortho
skinparam roundcorner 5
skinparam defaultFontName "Microsoft JhengHei UI"
skinparam defaultFontSize 16
skinparam minClassWidth 100
package "多層次安全掃描架構" {
package "靜態分析層" {
[SAST 掃描引擎] as SAST
[程式碼模式匹配] as Pattern
[資料流分析] as DataFlow
}
package "機密偵測層" {
[Secret Detection] as Secret
[模式識別引擎] as SecretPattern
[熵值分析] as Entropy
}
package "依賴分析層" {
[Dependency Scanner] as DepScan
[漏洞資料庫] as VulnDB
[版本比對引擎] as VersionCheck
}
package "授權檢查層" {
[License Scanner] as LicScan
[授權資料庫] as LicDB
[合規規則引擎] as Compliance
}
}
package "整合報告系統" {
[報告彙整器] as Aggregator
[視覺化儀表板] as Dashboard
[問題追蹤整合] as IssueTrack
}
SAST --> Pattern
SAST --> DataFlow
Secret --> SecretPattern
Secret --> Entropy
DepScan --> VulnDB
DepScan --> VersionCheck
LicScan --> LicDB
LicScan --> Compliance
SAST --> Aggregator
Secret --> Aggregator
DepScan --> Aggregator
LicScan --> Aggregator
Aggregator --> Dashboard
Aggregator --> IssueTrack
@enduml
有向無環圖在管線最佳化中的應用
傳統的 CI/CD 管線採用線性的階段執行模式,每個階段包含一個或多個任務,階段間嚴格按照定義順序執行,同一階段內的任務可以並行。這種模式簡單直觀,但存在效率問題。某些任務可能不需要等待前一階段的所有任務完成,而是僅依賴特定任務的輸出。例如,程式碼品質掃描可能僅需要等待單元測試通過,而不需要等待整合測試或效能測試。強制的階段順序導致不必要的等待時間,延長整體管線執行時間。
有向無環圖模式透過明確定義任務間的依賴關係,允許更精細的執行控制。每個任務可以指定其依賴的前置任務清單,只有當所有前置任務完成後,該任務才會開始執行。這種機制實現了真正的並行化,無相依關係的任務可以同時執行,大幅縮短管線時間。此外,DAG 模式提供更好的資源利用率,執行器不需要等待整個階段完成才能開始下一批任務。
實務應用中,DAG 的設計需要仔細分析任務間的實際依賴關係。過度細緻的依賴定義增加配置複雜度,但提供最大的並行機會。過於保守的依賴定義簡化配置,但可能無法充分利用並行能力。平衡點需要根據專案特性與管線複雜度決定。對於包含數十個任務的大型管線,投資於 DAG 設計能夠帶來顯著的效能提升。
# GitLab CI/CD 管線配置:DAG 最佳化範例
stages:
- build
- test
- security
- deploy
# 任務:建構應用程式
build-application:
stage: build
image: python:3.10-slim
script:
- echo "建構應用程式"
- python setup.py build
- python setup.py bdist_wheel
artifacts:
paths:
- dist/
expire_in: 1 day
# 任務:單元測試
# 僅依賴建構任務,可以在建構完成後立即執行
unit-tests:
stage: test
image: python:3.10-slim
# DAG 依賴定義:僅需要建構完成
needs:
- build-application
script:
- pip install -r requirements.txt
- pytest tests/unit/ --verbose
artifacts:
reports:
junit: test-results.xml
# 任務:整合測試
# 同樣僅依賴建構任務,與單元測試並行執行
integration-tests:
stage: test
image: python:3.10-slim
# DAG 依賴定義:僅需要建構完成
needs:
- build-application
services:
- postgres:14-alpine
variables:
DATABASE_URL: "postgresql://test:test@postgres:5432/testdb"
script:
- pip install -r requirements.txt
- pytest tests/integration/ --verbose
# 任務:程式碼品質掃描
# 必須等待單元測試通過,確保程式碼基本正確性
code-quality:
stage: test
image: registry.gitlab.com/gitlab-org/ci-cd/codequality:latest
# DAG 依賴定義:需要單元測試通過
needs:
- unit-tests
script:
- /analyzer run --format gitlab > gl-code-quality-report.json
artifacts:
reports:
codequality: gl-code-quality-report.json
# 任務:模糊測試
# 可以在建構完成後立即開始,不依賴其他測試
fuzz-testing:
stage: test
extends: .fuzz_base
# DAG 依賴定義:僅需要建構完成
# 使用空陣列表示可以立即執行
needs:
- build-application
script:
- pip install -r requirements.txt
- gitlab-cov-fuzz run --engine pythonfuzz -- fuzz_target.py
# 任務:安全掃描
# 可以在建構完成後立即開始
sast-scan:
stage: security
extends: .sast
# DAG 依賴定義:僅需要建構完成
needs:
- build-application
# 任務:依賴掃描
# 甚至不需要等待建構,可以並行執行
dependency-scan:
stage: security
extends: .dependency-scanning
# DAG 依賴定義:不依賴任何任務
# 直接分析 requirements.txt
needs: []
# 任務:預備環境部署
# 需要所有測試與安全掃描通過
deploy-staging:
stage: deploy
image: alpine:latest
# DAG 依賴定義:需要所有關鍵任務完成
needs:
- unit-tests
- integration-tests
- code-quality
- sast-scan
- dependency-scan
script:
- echo "部署至預備環境"
- ./scripts/deploy.sh staging
environment:
name: staging
url: https://staging.example.com
rules:
- if: '$CI_COMMIT_BRANCH == "develop"'
# 任務:生產環境部署
# 需要預備環境部署成功
deploy-production:
stage: deploy
image: alpine:latest
# DAG 依賴定義:需要預備環境驗證
needs:
- deploy-staging
script:
- echo "部署至生產環境"
- ./scripts/deploy.sh production
environment:
name: production
url: https://www.example.com
# 手動觸發,確保人工審核
when: manual
rules:
- if: '$CI_COMMIT_BRANCH == $CI_DEFAULT_BRANCH'
@startuml
!define PLANTUML_FORMAT svg
!theme _none_
skinparam dpi auto
skinparam shadowing false
skinparam linetype ortho
skinparam roundcorner 5
skinparam defaultFontName "Microsoft JhengHei UI"
skinparam defaultFontSize 16
skinparam minClassWidth 100
title DAG 管線執行流程
start
:建構應用程式;
fork
:單元測試;
:程式碼品質掃描;
note right
依賴單元測試
end note
fork again
:整合測試;
fork again
:模糊測試;
fork again
:SAST 掃描;
fork again
:依賴掃描;
note right
可立即執行
end note
end fork
:預備環境部署;
note right
依賴所有測試與掃描
end note
:人工審核;
:生產環境部署;
stop
@enduml
配置檔案的模組化管理策略
隨著專案規模成長與管線複雜度提升,單一配置檔案可能包含數百行定義,難以閱讀與維護。模組化管理透過將相關任務抽離至獨立檔案,提升配置的可讀性與重複利用性。安全掃描配置、測試任務定義、部署流程腳本等可以各自獨立管理,主配置檔案僅負責組織整體結構。這種做法在多專案環境中尤其有價值,標準化的配置模組可以跨專案共享,確保一致的實踐標準。
GitLab 的包含機制支援多種來源的配置引用。本地檔案引用允許將同一專案內的其他配置檔案合併至主配置。遠端檔案引用可以從其他 GitLab 專案或外部 HTTP 端點載入配置。範本引用使用 GitLab 官方維護的預定義範本。專案引用允許指定特定專案的特定檔案與分支。這些機制提供豐富的配置組織策略,適應不同規模與複雜度的需求。
# 主配置檔案:.gitlab-ci.yml
# 組織整體管線結構,引用模組化配置
# 包含各類別配置模組
include:
# 本地配置檔案:測試任務定義
- local: 'ci/testing-jobs.yml'
# 本地配置檔案:安全掃描配置
- local: 'ci/security-scanning.yml'
# 本地配置檔案:部署任務定義
- local: 'ci/deployment-jobs.yml'
# 遠端配置:組織共用的標準配置
- project: 'devops-team/shared-ci-config'
ref: main
file: '/templates/python-project.yml'
# GitLab 官方範本:程式碼品質
- template: Code-Quality.gitlab-ci.yml
# 管線階段定義
stages:
- build
- test
- security
- deploy
# 全域變數
variables:
# Python 版本
PYTHON_VERSION: "3.10"
# 快取設定
PIP_CACHE_DIR: "$CI_PROJECT_DIR/.cache/pip"
# 全域快取配置
cache:
key: "${CI_COMMIT_REF_SLUG}"
paths:
- .cache/pip
- venv/
# 簡單的建構任務(直接定義在主檔案)
build:
stage: build
image: python:${PYTHON_VERSION}-slim
script:
- python -m venv venv
- source venv/bin/activate
- pip install --upgrade pip
- pip install -r requirements.txt
- python setup.py build
artifacts:
paths:
- venv/
- build/
expire_in: 1 day
# 模組化配置檔案:ci/testing-jobs.yml
# 定義所有測試相關任務
# 單元測試任務
unit-tests:
stage: test
image: python:${PYTHON_VERSION}-slim
needs:
- build
before_script:
- source venv/bin/activate
script:
- pytest tests/unit/
--verbose
--junit-xml=unit-test-results.xml
--cov=src/
--cov-report=xml
--cov-report=term
artifacts:
when: always
reports:
junit: unit-test-results.xml
coverage_report:
coverage_format: cobertura
path: coverage.xml
paths:
- coverage.xml
- htmlcov/
expire_in: 7 days
coverage: '/(?i)total.*? (100(?:\.0+)?\%|[1-9]?\d(?:\.\d+)?\%)$/'
# 整合測試任務
integration-tests:
stage: test
image: python:${PYTHON_VERSION}-slim
needs:
- build
services:
- name: postgres:14-alpine
alias: postgres
- name: redis:7-alpine
alias: redis
variables:
POSTGRES_DB: testdb
POSTGRES_USER: testuser
POSTGRES_PASSWORD: testpass
DATABASE_URL: "postgresql://testuser:testpass@postgres:5432/testdb"
REDIS_URL: "redis://redis:6379/0"
before_script:
- source venv/bin/activate
- apt-get update && apt-get install -y postgresql-client
- until pg_isready -h postgres -U testuser; do sleep 1; done
script:
- pytest tests/integration/ --verbose
# 效能測試任務
performance-tests:
stage: test
image: python:${PYTHON_VERSION}-slim
needs:
- build
before_script:
- source venv/bin/activate
- pip install locust
script:
- locust -f tests/performance/locustfile.py
--headless
--users 100
--spawn-rate 10
--run-time 60s
allow_failure: true
rules:
- if: '$CI_COMMIT_BRANCH == $CI_DEFAULT_BRANCH'
- if: '$CI_PIPELINE_SOURCE == "schedule"'
# 模組化配置檔案:ci/security-scanning.yml
# 定義所有安全掃描任務
# 包含 GitLab 安全掃描範本
include:
- template: Security/SAST.gitlab-ci.yml
- template: Security/Secret-Detection.gitlab-ci.yml
- template: Security/Dependency-Scanning.gitlab-ci.yml
- template: Security/License-Scanning.gitlab-ci.yml
# 全域安全掃描變數
variables:
SAST_EXCLUDED_PATHS: "tests/,docs/,scripts/"
SECRET_DETECTION_EXCLUDED_PATHS: "tests/,fixtures/"
# 自訂 SAST 配置
sast:
needs:
- build
variables:
SAST_DEFAULT_ANALYZERS: "bandit,semgrep"
rules:
- if: '$CI_PIPELINE_SOURCE == "merge_request_event"'
- if: '$CI_COMMIT_BRANCH == $CI_DEFAULT_BRANCH'
# 自訂機密偵測配置
secret_detection:
needs: []
rules:
- if: '$CI_PIPELINE_SOURCE == "merge_request_event"'
- if: '$CI_COMMIT_BRANCH == $CI_DEFAULT_BRANCH'
# 自訂依賴掃描配置
gemnasium-python-dependency_scanning:
needs: []
rules:
- if: '$CI_PIPELINE_SOURCE == "merge_request_event"'
- if: '$CI_COMMIT_BRANCH == $CI_DEFAULT_BRANCH'
- if: '$CI_PIPELINE_SOURCE == "schedule"'
# 模組化配置檔案:ci/deployment-jobs.yml
# 定義所有部署相關任務
# 部署至開發環境
deploy-development:
stage: deploy
image: alpine:latest
needs:
- unit-tests
before_script:
- apk add --no-cache curl
script:
- echo "部署至開發環境"
- curl -X POST "https://dev-deploy.example.com/deploy"
-H "Authorization: Bearer $DEV_DEPLOY_TOKEN"
-d "commit=$CI_COMMIT_SHA"
environment:
name: development
url: https://dev.example.com
on_stop: stop-development
rules:
- if: '$CI_COMMIT_BRANCH == "develop"'
# 停止開發環境
stop-development:
stage: deploy
image: alpine:latest
script:
- echo "停止開發環境"
- curl -X POST "https://dev-deploy.example.com/stop"
environment:
name: development
action: stop
when: manual
rules:
- if: '$CI_COMMIT_BRANCH == "develop"'
# 部署至預備環境
deploy-staging:
stage: deploy
image: alpine:latest
needs:
- unit-tests
- integration-tests
- sast
- dependency_scanning
script:
- echo "部署至預備環境"
- ./scripts/deploy.sh staging
environment:
name: staging
url: https://staging.example.com
rules:
- if: '$CI_COMMIT_BRANCH == "main"'
# 部署至生產環境
deploy-production:
stage: deploy
image: alpine:latest
needs:
- deploy-staging
script:
- echo "部署至生產環境"
- ./scripts/deploy.sh production
environment:
name: production
url: https://www.example.com
when: manual
only:
- tags
本文系統性地探討了 GitLab CI/CD 平台的進階應用技術,從模糊測試的實作方法到多層次安全掃描的整合策略,從有向無環圖的管線最佳化到配置檔案的模組化管理,提供了完整的技術指南與實務範例。模糊測試技術透過自動化生成測試輸入,探索程式在異常條件下的行為,發現傳統測試難以捕捉的缺陷。多層次安全掃描從不同角度檢視程式碼安全性,構建全方位的防護體系。有向無環圖技術透過精確定義任務依賴,實現真正的並行化執行,大幅提升管線效率。配置檔案的模組化管理提升可讀性與重複利用性,支援跨專案的標準化實踐。這些技術的有機整合,協助開發團隊建立高效且安全的軟體交付管線,在確保產品品質的同時維持快速的迭代節奏。持續最佳化這些實踐,根據專案特性調整配置策略,是確保 CI/CD 管線長期健康運作的關鍵。