hcl-appscan-enterprise

บรรลุ DevSecOps ใน Microsoft Azure DevOps โดยใช้ HCL AppScan Enterprise

โปรเจ็กต์เว็บแอปพลิเคชันทั้งหมดใช้สถาปัตยกรรมไคลเอ็นต์-เซิร์ฟเวอร์ โดยมีการพุชโค้ดไปยังที่เก็บออนไลน์เพื่อความสะดวกในการทำงานร่วมกัน วิธีการนี้ยังมีประโยชน์ในการเปิดใช้การรวมและการส่งมอบอย่างต่อเนื่อง (CI/CD) ของแอปและเซิร์ฟเวอร์ของเรา Azure DevOps เป็นแพลตฟอร์มหนึ่งที่นำเสนอแพ็คเกจที่สมบูรณ์ตั้งแต่การสร้างไปจนถึงการปรับใช้งานแอปพลิเคชันและการจัดการไปป์ไลน์ CI/CD ของเรา เคยคิดไหมว่าแอปพลิเคชันที่เพิ่งปรับใช้ใหม่ของเรามีความปลอดภัยเพียงใด และมีวิธีรวมการทดสอบความปลอดภัยเข้ากับไปป์ไลน์ CI/CD หรือไม่ คำตอบคือใช่ ให้เราสำรวจวิธีการทำสิ่งนี้ให้สำเร็จโดยใช้ส่วนขยาย HCL AppScan

การติดตั้งและการกำหนดค่า

สามารถดาวน์โหลดส่วนขยายได้ฟรีจากAzure DevOps Marketplace

เมื่อติดตั้งส่วนขยายแล้ว จะต้องกำหนดค่าด้วยข้อมูลประจำตัว AppScan Enterprise (ASE) ด้วยKeyIDและใช้การเชื่อมต่อบริการใน Azure DevOps

ป้อน URL เซิร์ฟเวอร์ ASE (รูปแบบของ URL เหมือนกับ https://<hostname>:<port>/ase) ระบุคีย์และข้อมูลลับ ไปที่ ลิงก์นี้เพื่อสร้างรหัสและรหัสลับใน ASE

การกำหนดค่าท่อ

สร้างไปป์ไลน์ใหม่และเพิ่มงานประเภท HCL AppScan Enterprise ดังที่แสดงด้านล่าง

ป้อนรายละเอียดที่เกี่ยวข้องสำหรับงานที่เพิ่มในไปป์ไลน์ เราสามารถรับ ID โฟลเดอร์ ID เทมเพลต ID นโยบายการทดสอบ และ ID แอปพลิเคชันโดยใช้ASE REST API ฟิลด์ “URL เริ่มต้น” คือ URL ของแอปพลิเคชันที่จะสแกนความปลอดภัย ตัวอย่างเดียวกันมีดังแสดงด้านล่าง

การใช้สคริปต์ YAML

สคริปต์ yaml สามารถใช้สำหรับการกำหนดค่าการสแกนตามที่แสดงด้านล่าง

ตัวอย่างแสดงอยู่ด้านล่าง

ขั้นตอน:

-task:HCLTechnologies.ApplicationSecurity-VSTS.custom-ase-task.HCLAppScan Enterprise@2

displayName: ‘เรียกใช้ HCL AppScan Enterprise Security Test’

อินพุต:

ServiceEndPointAse: ‘ASE_227’

ชื่องาน: ‘MyFirst_Azure_Scan’

รหัสโฟลเดอร์: 4

templateId: 7

testPolicyId: 8

startURL: ‘https://demo.testfire.net’

วิธีการเข้าสู่ระบบ: ไม่มี

การเพิ่มประสิทธิภาพ: เร็วที่สุด

ระงับ: เท็จ

หากมีการใช้สคริปต์ yaml สำหรับการปรับใช้ของคุณ คุณสามารถเพิ่มขั้นตอนข้างต้นได้ ถ้าไม่คุณสามารถเพิ่มงานตามที่กล่าวไว้ในรูปก่อนหน้า

ส่วนขยาย HCL AppScan พร้อมที่จะรวมเข้ากับไปป์ไลน์ CI/CD ของโปรเจ็กต์ของคุณแล้ว

คุณสมบัติหลัก

  1. เราสามารถสแกนเว็บไซต์ที่เพิ่งปรับใช้ใหม่หรือไซต์อื่น ๆ ที่โฮสต์ในเครื่องหรือไซต์สาธารณะ แล้วเพิ่มงานด้านความปลอดภัยเพื่อให้มีการสแกนความปลอดภัย
  2. งานสามารถสแกนกระแสเฉพาะของเว็บไซต์ (ที่ปรับใช้ใหม่หรือที่โฮสต์ในเครื่องหรือไซต์สาธารณะ) โดยใช้ตัวบันทึกกิจกรรม ยูทิลิตีขนาดเล็กนี้ช่วยให้คุณสามารถบันทึกการรับส่งข้อมูลและการดำเนินการจากเว็บไซต์ของคุณ และอัปโหลดการบันทึกเหล่านั้นไปยังเครื่องมือวิเคราะห์ AppScan Dynamic ที่คุณเลือก –  HCL AppScan Enterpriseหรือ  HCL AppScan Standard หรือ   HCL AppScan On Cloud ไฟล์ที่บันทึกสามารถเก็บไว้ใน “Azure Repos Git”, “GitHub”, “GitHub Enterprise Server” หรือ “Bitbucket Cloud” และสามารถระบุเส้นทางของไฟล์ที่บันทึกไว้ในการกำหนดค่าไปป์ไลน์เพื่อใช้เหมือนกัน
  3. เราสามารถเพิ่มงานประเภท HCL AppScan Enterprise ได้หลายงาน จึงสามารถสแกนไซต์จำนวนมากในไปป์ไลน์เดียว สรุปความปลอดภัยของปัญหาของแต่ละปัญหาจะแสดงพร้อมกับรายงานการทดสอบความปลอดภัย รายงานนี้มีปัญหาการสแกนพร้อมกับการแก้ไขสำหรับปัญหาที่รายงาน
  4. รองรับการเปิดใช้งานและการกำหนดค่าการตั้งค่าและการแจ้งเตือนทางอีเมลก่อนที่จะเรียกใช้บิลด์
  5. เราสามารถกำหนดค่าบิลด์ให้ล้มเหลวตามผลการรักษาความปลอดภัย ตัวอย่างเช่น เราอาจล้มเหลวในการสร้างหากจำนวนช่องโหว่ด้านความปลอดภัยสูงมากกว่า 5 รายการ

การกำหนดค่าสามารถทำได้ตามที่แสดงด้านล่าง

ในกรณีที่ตรงตามเงื่อนไขข้างต้น บิลด์ Azure จะล้มเหลว และเราได้รับข้อความที่เหมาะสมในคอนโซล Azure ข้อความคอนโซลตัวอย่างมีดังต่อไปนี้

6. คุณสามารถลดเวลาในการสแกนได้โดยเลือกความสมดุลระหว่างความเร็วและความครอบคลุมของปัญหา การสแกนที่ปรับให้เหมาะสมละเว้นการทดสอบที่กำหนดไว้ในนโยบายการทดสอบสำหรับช่องโหว่ที่รุนแรงน้อยกว่าหรือมีแนวโน้มน้อยกว่าตามการวิเคราะห์ทางสถิติอย่างต่อเนื่อง อ่านเพิ่มเติมเกี่ยวกับการเพิ่มประสิทธิภาพการทดสอบที่นี่

7. ตัวเลือกในการดาวน์โหลดรายงานการสแกนในรูปแบบ JSON และ PDF สามารถสร้างรายงาน PDF ได้ก็ต่อเมื่อเลือก ID แอปพลิเคชัน (ฟิลด์ที่ไม่บังคับ) ระหว่างการกำหนดค่างานไปป์ไลน์จากบันทึกไปป์ไลน์หลังการดำเนินการสแกนสำเร็จ

8. ข้อมูลสรุปการสร้างจะแสดงจำนวนปัญหาตามความรุนแรงเมื่อการสแกนเสร็จสมบูรณ์

บูรณาการกับระบบติดตามข้อบกพร่องอื่น ๆ 

หากเลือก ID แอปพลิเคชัน (ฟิลด์ตัวเลือก) ระหว่างการกำหนดค่างานไปป์ไลน์ ปัญหาด้านความปลอดภัยสามารถดูได้ภายใต้แอปพลิเคชันที่ระบุในอินเทอร์เฟซองค์กรของ AppScan.. บริการ AppScan Issue Management Gatewayเพื่อโยกย้ายปัญหาจาก AppScan Enterprise ไปยังแอปพลิเคชันการจัดการปัญหาเช่น จิรา คอนเสิร์ต Azure and Rational Team