开发团队正在比以往更快地建造,测试和运输代码。今天,我们知道安全性在Devops工作流的早期阶段发挥作用,但这些安全控制主要是在开发期间找到和修复错误和漏洞的居中。

在本教程中,我们将探讨在运行时保护客户端应用程序代码的重要性,并指导您在Gitlab实例中使用与集成在Gitlab实例中实现它jsclambler.

运行时代码保护的重要性

使用Web和移动应用程序处理越来越敏感的数据,解决应用程序的攻击表面需要考虑到与漏洞无直接相关的额外威胁。

这个问题已被广泛涵盖NIST,ISO 27001,以及OWASP指南的一些最新迭代,如移动应用安全验证标准。这些信息安全标准突出显示,获得对应用程序源代码的缺省访问权限的攻击者可以检索专有代码,找到绕过应用限制的方法,并在规划/自动化数据exfiltration攻击时进行更多进度。

因此,重要的是,公司实施额外的安全层(在应用程序安全最佳实践之上),以解决应用程序源代码的篡改和逆向工程的威胁。

JScrambler + Gitlab入门

强大的代码保护方法必须包括多个层,以提高栏以进行逆向工程和篡改尝试。JScrambler通过使用代码保护技术的组合来实现这一目标,包括混淆,代码锁,运行时保护和威胁监控。

让我们看看如何在Gitlab实例中使用JScrambler轻松设置此分层源代码保护。

你需要什么jsclambler集成

要使用与jsclambler的集成,请确保符合以下先决条件:

如何配置jsclambler

该集成的第一步是定义要使用的JSclambler代码保护技术。这样做的最好方法是通过jsclambler web app.。您可以逐个选择一个预定义的模板或选择技术。审查jsclambler指南有关选择JSClamer技术的进一步说明。无论您选择什么,单击应用程序设置旁边的下载按钮,下载JSclamber的JSON配置文件,如下所示。

jscrambler_download_json.如何下载JSclambler的JSON配置。

将您刚刚下载的文件放在项目的根文件夹中并将其重命名为.jscramblerc.。现在,打开文件,并确保通过删除以下行来删除此配置文件中的访问和密钥。

JSON“键”:{“AccessKey”:“***********************”,“secretkey”:“***********************“},

这将防止具有硬件API键,这可能会造成安全问题。您应该使用这些API键使用Gitlab CI环境变量, 如下所示。

JScrambler API键作为Gitlab环境变量在哪里可以在gitlab中得分jscrambler的api键。

这就是Jsclambler的一侧所需的一切!

配置Gitlab CI内的JSclambler作业

首先检查你已经放了.gitlab-ci.yml.在项目根目录中的文件。在此文件中,您需要定义您的建造阶段,以及添加一个新的保护阶段,如下所示。

YML阶段: - 构建 - 保护# - 部署#...

建造舞台应配置如下:

建立:生产新利18骗阶段建造伪影什么时候on_success.path-建造脚本-NPM I.-NPM运行构建

此配置将运行NPM运行构建命令是将应用程序构建到生产的标准方法,将生成的生产文件放在其中新利18骗/建造文件夹。另外,它确保了/建造文件夹可用作Gitlab CI工件这样它就可以在其他工作中使用。

在此,请确保根据自己的项目设置构建命令和构建文件夹,因为这些项目可能会有所不同。

接下来,配置保护阶段如下所示:

yml构建:生产:舞新利18骗台:舞台:protect_script: -  npm i-g jscrambler依赖关系: - 构建:制作工件:名称:“$ ci_job_name”何时:on_success路径: -  build expire_in:1周脚本:#默认情况下,所有来自先前阶段的伪影已传递给每个作业。-  jscrambler -a $ jscrambler_access_key -s $ jscrambler_secret_key -o ./ build /**/*.*

此阶段通过全局安装JSclambler NPM包来启动。接下来,它被配置为在每个新生产构建过程的末尾执行JScr​​ambler。新利18骗通常,您希望确保JScrambler是构建过程的最后阶段,因为JSclambler广泛地将源代码转换,也可以添加防篡改保护。这意味着在JSclambler保护后更改文件可能会破坏应用程序功能。

保护阶段配置为访问已加载为Gitlab环境变量的JSclambler API键。最后,保护的输出放入相同的情况下/建造文件夹,并作为后部使用的Gitlab CI工件(例如,部署作业)。

请注意,虽然此示例显示如何使用JSclamer CLI客户端来保护代码,但JSclambler兼容其他客户,例如咕噜声,吞瓶,网上手袋,ember和地铁(反应本地)。

而且,这就是它的全部!您可以配置您的部署像往常一样舞台,应该访问的内容建造/文件夹并确保您的受保护的文件在现场生产环境中可用。新利18骗

检查保护结果

作为最终(可选)步骤,您可能希望检查Live应用程序,并查看其源代码的内容。您可以使用浏览器调试器轻松地执行此操作,并从“源”选项卡打开文件。受保护的代码应该完全毫不可靠,类似于下面所示的代码。

jscrambler保护的源代码由JScrambler保护的Myky源代码示例。

只要牢记,如果您使用JScrambler的反调试转换,您的浏览器调试器可能会崩溃或拆除应用程序执行。这是预期的行为,这对于防止代码的逆向工程非常有用。

最后的想法

正如我们在本教程中所看到的,在JSclambler和Gitlab之间建立此集成非常简单。它介绍了一个新的保护在部署之前由JScrambler保护JavaScript源代码的阶段。

JSclambler超出了JavaScript混淆,因为它提供了运行时保护技术,如自卫自我愈合,它提供防篡改和反调试功能,以及代码锁定。有关JScrambler转换的更多详细信息,请访问jsclambler的文档页面

观看演示

更多的视频人?使用Gitlab和JScrambler观看如何保护您的源代码的演示。

尝试所有Gitlab功能 - 免费30天

Gitlab不仅仅是源代码管理或CI / CD。它是一个完整的软件开发生命周期和Devops工具在一个应用程序中。

尝试Gitlab免费
18新利赢钱

尝试18luck mx 无风险30天。

不需要信用卡。有问题吗?联系我们。

gitlab x图标svg