CheckMarx中文网站 > 最新资讯 > Checkmarx门禁怎么设 Checkmarx阻断条件与阈值怎么定
教程中心分类
最新资讯
使用教程
热门推荐
新手入门
Checkmarx门禁怎么设 Checkmarx阻断条件与阈值怎么定
发布时间:2026/03/17 09:57:42

  Checkmarx的门禁做得好,能把高风险问题卡在合并前,避免带病代码进入主干与发布分支。门禁做得不好,要么误报太多把研发卡死,要么阈值太松形同虚设。下面按可执行步骤,把门禁入口怎么设、阻断阈值怎么定、上线后怎么校验回滚写清楚,方便你直接套到日常流水线里。

  一、Checkmarx门禁怎么设

 

  门禁的第一原则是把扫描结果和合并动作绑定,让门禁失败时流水线直接失败并给出可复核的缺陷清单。第二原则是把门禁口径固化到Preset或Policy,而不是靠个人临时改配置,避免同一仓库在不同分支跑出不同结论。

 

  1、先选定门禁生效点并固定触发时机

 

  把门禁放在合并请求或拉取请求阶段最有效,先在CI里新增一个安全扫描阶段并放在编译通过之后、部署之前;若你们有夜间全量扫描,再加一条定时任务用于趋势统计,但阻断只在合并阶段生效,避免夜间任务把主干卡住。

 

  2、在Checkmarx侧建应用与扫描对象并统一命名

 

  登录平台后进入【Applications】或【Projects】,点击【Create】创建扫描对象,名称建议包含仓库名与组件名;进入对象详情页确认仓库地址或上传入口一致,确保后续每次扫描都落在同一对象下,避免结果分散到多个同名对象里。

 

  3、配置扫描规则集合并用Preset或Policy固化

 

  进入【Presets】或对象的【Scan settings】,选择你们组织的标准规则集合并保存;如果需要定制规则组合,先复制一份基础Preset,再在复制版里做增删启用,保存后把该Preset绑定到对象,确保所有分支扫描使用同一口径。

 

  4、建立基线并把门禁聚焦到新增问题

 

  在对象或策略配置里找到【Baseline】相关入口,选择以某个稳定版本或某次扫描作为基线;启用仅对新增问题阻断的口径,避免一次上线就被历史存量淹没,同时把存量治理放到单独的整改计划里。

 

  5、把门禁开关接到CI失败条件并输出清晰提示

 

  在CI集成配置里启用阻断开关,让扫描结果达到阻断条件时作业返回失败状态;同时配置输出,让流水线日志里至少包含扫描编号、阻断规则命中原因、关键问题数量与严重度分布,便于研发不登录平台也能先判断要改哪里。

 

  6、把结果回写到合并请求页面方便评审

 

  在集成配置里启用评论回写或报告上传能力,让合并请求页面出现问题摘要与跳转链接;评审时要求对阻断项必须给出修复提交或例外记录编号,禁止只口头说明已确认无风险。

 

  二、Checkmarx阻断条件与阈值怎么定

 

  阈值的关键在于可执行与一致性,既要能反映风险高低,也要避免把研发流程变成每天救火。建议先按严重度与可利用性划分优先级,再把阈值拆成新增与存量两套口径,并把不同资产的阈值做分层。

 

  1、先把阻断对象范围说清楚

 

  明确门禁覆盖哪些扫描结果,常见包括SAST代码缺陷、SCA开源组件风险、密钥泄露类问题;把不同类型分开设阈值,避免用同一个数量门槛同时约束三类风险导致口径失真。

  2、把新增问题设为强门禁把扩散压住

 

  把新增高严重度问题设为零容忍,新增一条就阻断;新增中等严重度问题设为小门槛并绑定到迭代节奏,例如允许少量但必须在本迭代关闭;新增低严重度不建议阻断,改为告警并纳入治理池,避免把门禁变成噪声源。

 

  3、用数量阈值加风险阈值双轨并行更稳

 

  数量阈值解决明显问题,例如新增高严重度大于等于1直接阻断;风险阈值解决整体退化,例如风险评分超过门槛或同类缺陷密度超过门槛时阻断,用两条线能减少单一指标被误报放大导致的误阻断。

 

  4、按资产暴露面分层调整阈值

 

  对互联网入口、鉴权网关、支付与密钥相关模块把阈值上调严格度,例如中等严重度也可阻断;对纯离线工具或低权限内部模块可适度放宽,但必须写清边界条件并在对象标签或策略里落地,避免口头分层无法复核。

 

  5、给误报与不可修复项留正式出口但必须可追溯

 

  误报处置必须在平台里用规范状态处理并写清理由与依据,必要时附上输入不可达或已净化的证据;不可修复项走例外审批并写清补偿措施与到期日,到期必须复审,否则例外会变成永久通行证。

 

  6、把阈值节奏绑定到合并与发布两个节点

 

  合并节点以新增为主做强门禁,确保不扩散;发布节点再加一条硬门槛,例如高严重度存量必须为零或已全部有有效例外,并在发布说明里引用本次扫描编号与结论,保证对外可复核。

 

  三、Checkmarx门禁上线校验与回滚

 

  门禁不是一次性配置,真正难的是上线后如何验证口径有效、如何控制误报、如何在不影响交付的前提下回滚。建议用试运行加备份回滚加抽样复核三步,把门禁变成可维护的工程能力。

 

  1、上线前先用试运行Preset灰度一到两个仓库

 

  复制正式Preset做一份试运行版,只在少量仓库绑定并跑一到两轮合并请求;对比阻断率、误报率与修复成本,确认可接受后再推广到全量仓库。

 

  2、每次调整阈值前先导出配置留回滚口子

 

  在【Presets】或策略配置页把当前配置导出或记录版本号,并在内部变更记录里写清本次调整项与预期影响;调整后若噪声过大,可以把对象的Preset切回上一个版本并复跑一次扫描确认恢复。

 

  3、回滚要同时处理平台绑定与CI变量两处

 

  平台侧把对象绑定的Preset或Policy切回旧口径,CI侧把门禁开关与阈值变量切回旧值,避免出现平台与流水线口径不一致导致结果反复;回滚后要求用同一提交重新触发一次扫描做验证。

 

  4、用抽样复核确认门禁阻断是合理阻断

 

  每周抽查若干次阻断案例,核对阻断项是否真实可利用、是否属于关键路径、是否存在明显误报;对高频误报规则优先通过自定义净化点或规则调整降低噪声,而不是长期放宽阈值。

 

  5、用指标监控门禁效果并驱动持续收敛

 

  固定跟踪新增高严重度为零的达成率、阻断后平均修复周期、例外数量与到期未复审数量、重复问题回潮率,用指标判断门禁是在提升质量还是在制造阻塞,再决定下一轮规则与阈值调整方向。

  总结

 

  Checkmarx门禁要跑得稳,先把门禁放在合并阶段并用Preset或Policy固化口径,再通过基线把阻断聚焦到新增问题,并把阻断结果回写到合并请求形成闭环。阈值制定用新增强门禁加风险双轨,再按资产暴露面分层,并给误报与例外留可追溯出口。上线后用灰度试运行、配置备份回滚、抽样复核与指标监控把门禁长期维护起来,才能做到既能阻断高风险也不拖慢交付。

135 2431 0251