โปรเจ็กต์เว็บแอปพลิเคชันทั้งหมดใช้สถาปัตยกรรมไคลเอ็นต์-เซิร์ฟเวอร์ โดยมีการพุชโค้ดไปยังที่เก็บออนไลน์เพื่อความสะดวกในการทำงานร่วมกัน วิธีการนี้ยังมีประโยชน์ในการเปิดใช้การรวมและการส่งมอบอย่างต่อเนื่อง (CI/CD) ของแอปและเซิร์ฟเวอร์ของเรา Azure DevOps เป็นแพลตฟอร์มหนึ่งที่นำเสนอแพ็คเกจที่สมบูรณ์ตั้งแต่การสร้างไปจนถึงการปรับใช้งานแอปพลิเคชันและการจัดการไปป์ไลน์ CI/CD ของเรา เคยคิดไหมว่าแอปพลิเคชันที่เพิ่งปรับใช้ใหม่ของเรามีความปลอดภัยเพียงใด และมีวิธีรวมการทดสอบความปลอดภัยเข้ากับไปป์ไลน์ CI/CD หรือไม่ คำตอบคือใช่ ให้เราสำรวจวิธีการทำสิ่งนี้ให้สำเร็จโดยใช้ส่วนขยาย HCL AppScan
การติดตั้งและการกำหนดค่า
สามารถดาวน์โหลดส่วนขยายได้ฟรีจากAzure DevOps Marketplace
เมื่อติดตั้งส่วนขยายแล้ว จะต้องกำหนดค่าด้วยข้อมูลประจำตัว AppScan Enterprise (ASE) ด้วยKeyIDและใช้การเชื่อมต่อบริการใน Azure DevOps
ป้อน URL เซิร์ฟเวอร์ ASE (รูปแบบของ URL เหมือนกับ https://<hostname>:<port>/ase) ระบุคีย์และข้อมูลลับ ไปที่ ลิงก์นี้เพื่อสร้างรหัสและรหัสลับใน ASE
การกำหนดค่าท่อ
สร้างไปป์ไลน์ใหม่และเพิ่มงานประเภท HCL AppScan Enterprise ดังที่แสดงด้านล่าง
ป้อนรายละเอียดที่เกี่ยวข้องสำหรับงานที่เพิ่มในไปป์ไลน์ เราสามารถรับ ID โฟลเดอร์ ID เทมเพลต ID นโยบายการทดสอบ และ ID แอปพลิเคชันโดยใช้ASE REST API ฟิลด์ “URL เริ่มต้น” คือ URL ของแอปพลิเคชันที่จะสแกนความปลอดภัย ตัวอย่างเดียวกันมีดังแสดงด้านล่าง
การใช้สคริปต์ YAML
สคริปต์ yaml สามารถใช้สำหรับการกำหนดค่าการสแกนตามที่แสดงด้านล่าง
ตัวอย่างแสดงอยู่ด้านล่าง
ขั้นตอน:
-task:HCLTechnologies.ApplicationSecurity-VSTS.custom-ase-task.HCLAppScan Enterprise@2
displayName: ‘เรียกใช้ HCL AppScan Enterprise Security Test’
อินพุต:
ServiceEndPointAse: ‘ASE_227’
ชื่องาน: ‘MyFirst_Azure_Scan’
รหัสโฟลเดอร์: 4
templateId: 7
testPolicyId: 8
startURL: ‘https://demo.testfire.net’
วิธีการเข้าสู่ระบบ: ไม่มี
การเพิ่มประสิทธิภาพ: เร็วที่สุด
ระงับ: เท็จ
หากมีการใช้สคริปต์ yaml สำหรับการปรับใช้ของคุณ คุณสามารถเพิ่มขั้นตอนข้างต้นได้ ถ้าไม่คุณสามารถเพิ่มงานตามที่กล่าวไว้ในรูปก่อนหน้า
ส่วนขยาย HCL AppScan พร้อมที่จะรวมเข้ากับไปป์ไลน์ CI/CD ของโปรเจ็กต์ของคุณแล้ว
คุณสมบัติหลัก
- เราสามารถสแกนเว็บไซต์ที่เพิ่งปรับใช้ใหม่หรือไซต์อื่น ๆ ที่โฮสต์ในเครื่องหรือไซต์สาธารณะ แล้วเพิ่มงานด้านความปลอดภัยเพื่อให้มีการสแกนความปลอดภัย
- งานสามารถสแกนกระแสเฉพาะของเว็บไซต์ (ที่ปรับใช้ใหม่หรือที่โฮสต์ในเครื่องหรือไซต์สาธารณะ) โดยใช้ตัวบันทึกกิจกรรม ยูทิลิตีขนาดเล็กนี้ช่วยให้คุณสามารถบันทึกการรับส่งข้อมูลและการดำเนินการจากเว็บไซต์ของคุณ และอัปโหลดการบันทึกเหล่านั้นไปยังเครื่องมือวิเคราะห์ AppScan Dynamic ที่คุณเลือก – HCL AppScan Enterpriseหรือ HCL AppScan Standard หรือ HCL AppScan On Cloud ไฟล์ที่บันทึกสามารถเก็บไว้ใน “Azure Repos Git”, “GitHub”, “GitHub Enterprise Server” หรือ “Bitbucket Cloud” และสามารถระบุเส้นทางของไฟล์ที่บันทึกไว้ในการกำหนดค่าไปป์ไลน์เพื่อใช้เหมือนกัน
- เราสามารถเพิ่มงานประเภท HCL AppScan Enterprise ได้หลายงาน จึงสามารถสแกนไซต์จำนวนมากในไปป์ไลน์เดียว สรุปความปลอดภัยของปัญหาของแต่ละปัญหาจะแสดงพร้อมกับรายงานการทดสอบความปลอดภัย รายงานนี้มีปัญหาการสแกนพร้อมกับการแก้ไขสำหรับปัญหาที่รายงาน
- รองรับการเปิดใช้งานและการกำหนดค่าการตั้งค่าและการแจ้งเตือนทางอีเมลก่อนที่จะเรียกใช้บิลด์
- เราสามารถกำหนดค่าบิลด์ให้ล้มเหลวตามผลการรักษาความปลอดภัย ตัวอย่างเช่น เราอาจล้มเหลวในการสร้างหากจำนวนช่องโหว่ด้านความปลอดภัยสูงมากกว่า 5 รายการ
การกำหนดค่าสามารถทำได้ตามที่แสดงด้านล่าง
ในกรณีที่ตรงตามเงื่อนไขข้างต้น บิลด์ Azure จะล้มเหลว และเราได้รับข้อความที่เหมาะสมในคอนโซล Azure ข้อความคอนโซลตัวอย่างมีดังต่อไปนี้
6. คุณสามารถลดเวลาในการสแกนได้โดยเลือกความสมดุลระหว่างความเร็วและความครอบคลุมของปัญหา การสแกนที่ปรับให้เหมาะสมละเว้นการทดสอบที่กำหนดไว้ในนโยบายการทดสอบสำหรับช่องโหว่ที่รุนแรงน้อยกว่าหรือมีแนวโน้มน้อยกว่าตามการวิเคราะห์ทางสถิติอย่างต่อเนื่อง อ่านเพิ่มเติมเกี่ยวกับการเพิ่มประสิทธิภาพการทดสอบที่นี่
7. ตัวเลือกในการดาวน์โหลดรายงานการสแกนในรูปแบบ JSON และ PDF สามารถสร้างรายงาน PDF ได้ก็ต่อเมื่อเลือก ID แอปพลิเคชัน (ฟิลด์ที่ไม่บังคับ) ระหว่างการกำหนดค่างานไปป์ไลน์จากบันทึกไปป์ไลน์หลังการดำเนินการสแกนสำเร็จ
8. ข้อมูลสรุปการสร้างจะแสดงจำนวนปัญหาตามความรุนแรงเมื่อการสแกนเสร็จสมบูรณ์
บูรณาการกับระบบติดตามข้อบกพร่องอื่น ๆ
หากเลือก ID แอปพลิเคชัน (ฟิลด์ตัวเลือก) ระหว่างการกำหนดค่างานไปป์ไลน์ ปัญหาด้านความปลอดภัยสามารถดูได้ภายใต้แอปพลิเคชันที่ระบุในอินเทอร์เฟซองค์กรของ AppScan.. บริการ AppScan Issue Management Gatewayเพื่อโยกย้ายปัญหาจาก AppScan Enterprise ไปยังแอปพลิเคชันการจัดการปัญหาเช่น จิรา คอนเสิร์ต Azure and Rational Team