شروع رایگان
DevSecOps as a Service رایگان — همین حالا شروع کنید

اسکن امنیتی کد به‌صورت ایستا
برای GitLab و تیم‌های DevSecOps

کد خود را قبل از استقرار بررسی کنید. سرویس امنیت کد درنا با تحلیل ایستای کد (SAST) آسیب‌پذیری‌ها را زودتر شناسایی می‌کند؛ چه با ارسال مستقیم کد برای تحلیل و چه با اتصال به GitLab CI/CD. نتایج مستقیماً به سامانه مدیریت آسیب‌پذیری ارسال می‌شود.

شروع اسکن رایگان اتصال به GitLab مشاهده مستندات CI/CD
SASTStatic Analysis
GitLabCI/CD Integration
رایگانبدون هزینه اولیه
Real-timeگزارش‌دهی آنی
چرا درنا؟

امنیت کد را به بخشی از فرایند توسعه تبدیل کنید

با سرویس SAST درنا، آسیب‌پذیری‌ها را قبل از رسیدن به محیط Production شناسایی کنید و هزینه‌های اصلاح را به حداقل برسانید.

کشف زودهنگام آسیب‌پذیری‌ها

با تحلیل ایستای کد (Static Code Analysis)، مشکلات امنیتی را قبل از رسیدن به محیط Production شناسایی کنید.

SAST

کاهش هزینه اصلاح

رفع آسیب‌پذیری در مرحله توسعه تا ۱۰۰ برابر ارزان‌تر از اصلاح در محیط Production است.

یکپارچگی با GitLab CI/CD

با اضافه کردن یک Job به Pipeline گیت‌لب، اسکن امنیتی به‌صورت خودکار در هر commit اجرا می‌شود.

GitLab Integration

گزارش‌دهی متمرکز

نتایج اسکن به سامانه مدیریت آسیب‌پذیری ارسال می‌شود. تیم توسعه وضعیت رفع هر مشکل را پیگیری می‌کند.

Vulnerability Management

مناسب تیم‌های DevSecOps

امنیت را به بخشی از چرخه توسعه تبدیل کنید. Shift-Left Security با کمترین اصطکاک برای تیم.

DevSecOps

شروع رایگان

در حال حاضر استفاده از سرویس کاملاً رایگان است. بدون هزینه اولیه، همین حالا شروع کنید.

رایگان
دو مسیر ساده

از کجا می‌خواهید شروع کنید؟

بسته به وضعیت تیم، می‌توانید با اسکن دستی شروع کنید یا مستقیماً GitLab CI/CD را متصل کنید.

روش اول

اسکن دستی

اگر می‌خواهید قبل از اتصال CI/CD سرویس را ارزیابی کنید، می‌توانید کد یا پروژه خود را مستقیماً برای تحلیل ارسال کنید.

  • 1وارد پنل سرویس شوید
  • 2پروژه یا فایل کد را آپلود کنید
  • 3اسکن را اجرا کنید
  • 4نتایج را در سامانه مدیریت آسیب‌پذیری مشاهده کنید
مناسب برای ارزیابی اولیه
شروع اسکن دستی
روش دوم

اتصال به GitLab CI/CD

اگر فرایند توسعه شما در GitLab انجام می‌شود، کافی است Job مربوط به اسکن را به Pipeline اضافه کنید تا اسکن امنیتی به‌صورت خودکار در هر commit اجرا شود.

  • 1پروژه را در سامانه تعریف کنید
  • 2توکن و تنظیمات اتصال را دریافت کنید
  • 3Job اسکن را به .gitlab-ci.yml اضافه کنید
  • 4نتایج به‌صورت خودکار ارسال می‌شود
اسکن خودکار در هر Pipeline
مشاهده راهنمای اتصال
GitLab CI/CD

نحوه استفاده در GitLab Pipeline

در ۶ مرحله ساده، اسکن امنیتی را به چرخه توسعه خود اضافه کنید.

1

پروژه را در سامانه تعریف کنید

وارد پنل درنا شوید و پروژه GitLab خود را ثبت کنید تا Project Key دریافت کنید.

2

توکن و تنظیمات اتصال را دریافت کنید

API Token و Project Key را از پنل کپی کنید و در GitLab CI/CD Variables ذخیره کنید.

3

Job اسکن را به Pipeline اضافه کنید

محتوای نمونه YAML را به فایل .gitlab-ci.yml پروژه خود اضافه کنید.

4

Pipeline کد را به‌صورت ایستا اسکن می‌کند

در هر اجرای Pipeline، ایمیج اسکنر درنا کد را تحلیل می‌کند.

5

نتایج به سامانه مدیریت آسیب‌پذیری ارسال می‌شود

یافته‌ها به‌صورت خودکار دسته‌بندی و در پنل مدیریت ثبت می‌شوند.

6

تیم توسعه گزارش‌ها را بررسی و رفع می‌کند

توسعه‌دهنده‌ها وضعیت هر آسیب‌پذیری را پیگیری و پس از رفع، بسته می‌کنند.

.gitlab-ci.yml
# .gitlab-ci.yml — Dorna SAST Integration

stages:
  - security

dorna_sast_scan:
  stage: security
  image: registry.dornadevops.com/dorna/sast-scanner:latest
  variables:
    DORNA_PROJECT_KEY: "$DORNA_PROJECT_KEY"
    DORNA_API_TOKEN: "$DORNA_API_TOKEN"
    DORNA_SERVER_URL: "https://sec.dornadevops.com"
  script:
    - dorna-scan --source . \
        --project "$CI_PROJECT_PATH" \
        --commit "$CI_COMMIT_SHA"
  only:
    - merge_requests
    - main
    - master
  allow_failure: false
متغیرهای مورد نیاز در GitLab CI/CD Variables
DORNA_PROJECT_KEYکلید پروژه از پنل درنا
DORNA_API_TOKENتوکن احراز هویت API
مدیریت آسیب‌پذیری

از کشف آسیب‌پذیری تا پیگیری رفع در یک مسیر یکپارچه

خروجی اسکن فقط یک لاگ ساده نیست. یافته‌ها پس از تحلیل، به سامانه مدیریت آسیب‌پذیری ارسال می‌شوند تا تیم توسعه بتواند آن‌ها را به‌صورت ساختاریافته پیگیری کند.

دسته‌بندی بر اساس پروژه و مخزن
یافته‌ها به تفکیک پروژه و repository سازماندهی می‌شوند.
قابل مشاهده توسط توسعه‌دهنده‌ها
هر عضو تیم می‌تواند آسیب‌پذیری‌های مرتبط با پروژه خود را ببیند.
پیگیری وضعیت رسیدگی و رفع
وضعیت هر آسیب‌پذیری از Open تا Resolved قابل ردیابی است.
مشاهده نمونه گزارش
سامانه مدیریت آسیب‌پذیری
Live
3
Critical
12
High
28
Medium
47
Low
آسیب‌پذیری‌های اخیرهمه پروژه‌ها
CRITICAL
SQL Injection در query builder
backend-api · db/query.py:142
باز
HIGH
Hardcoded API Key
mobile-app · config/api.js:8
در حال رفع
HIGH
XSS در فرم ورودی
frontend · components/Form.vue:67
باز
MEDIUM
Insecure Deserialization
backend-api · utils/parser.py:89
رفع شد
در حال حاضر رایگان است

همین حالا شروع کنید
بدون هیچ هزینه‌ای

اگر می‌خواهید امنیت کد را بدون پیچیدگی اولیه وارد چرخه توسعه کنید، همین حالا شروع کنید و سرویس را در پروژه‌های خود ارزیابی کنید.

شروع سریع بدون نیاز به نصب
بدون هزینه اولیه
اتصال به GitLab CI/CD
گزارش‌دهی در سامانه مدیریت آسیب‌پذیری
مناسب برای ارزیابی امنیت کد تیم
شروع اسکن رایگان اتصال به GitLab CI/CD

نیاز به کارت اعتباری ندارد · بدون محدودیت زمانی · مناسب برای ارزیابی تیم

سوالات متداول

سوالی دارید؟
اینجا پاسخ بگیرید

اگر پاسخ سوال خود را پیدا نکردید، با تیم ما در تماس باشید.

تماس با تیم پشتیبانی
این سرویس چه نوع اسکن امنیتی انجام می‌دهد؟

سرویس درنا از روش تحلیل ایستای کد (SAST — Static Application Security Testing) استفاده می‌کند. این روش بدون اجرای برنامه، کد منبع را تحلیل می‌کند و آسیب‌پذیری‌هایی مانند SQL Injection، XSS، Hardcoded Secrets و موارد مشابه را شناسایی می‌کند.

آیا امکان اتصال به GitLab CI/CD وجود دارد؟
آیا اسکن فقط از طریق CI/CD انجام می‌شود؟
گزارش‌ها کجا نمایش داده می‌شوند؟
آیا این سرویس رایگان است؟
برای چه زبان‌های برنامه‌نویسی مناسب است؟
آیا کد من در سرور ذخیره می‌شود؟