OWASP Kontrola zależności w Jenkins

OWASP (Open Web Application Security Project) to organizacja non -profit, która działa na rzecz poprawy bezpieczeństwa oprogramowania. Jest to organizacja oparta na społeczności, której celem jest promowanie i poprawa bezpieczeństwa aplikacji internetowych poprzez zapewnienie różnych zasobów, w tym dokumentacji, narzędzi i wytycznych dla programistów i specjalistów ds. Bezpieczeństwa.

OWASP zapewnia szeroki zakres narzędzi i narzędzi dla programistów i badaczy bezpieczeństwa w celu poprawy bezpieczeństwa aplikacji internetowych.

OWASP Checker jest narzędziem, które pozwala skanować i wykrywać wszelkie publicznie ujawnione luki, które mogą być zawarte w ramach zależności danego projektu. Narzędzie skanuje projekt dla znanych luk i generuje raport na podstawie ustaleń.

Raport zawiera link do wszystkich znalezionych CVE oraz szczegóły i nasilenie każdej podatności.

W tym samouczku dowiemy się, jak korzystać z wtyczki kontroli zależności OWASP w Jenkins, aby zeskanować projekt dla znanych luk w zabezpieczeniach.

Krok 1: Zainstaluj wtyczkę zależności OWASP

Krok 1: Zainstaluj wtyczkę zależności OWASP
Pierwszym krokiem jest zainstalowanie wtyczki zależności OWASP na naszym serwerze Jenkins. Zaloguj się do pulpitu nawigacyjnego Jenkins i przejdź do „Zarządzaj Jenkins”.

Wybierz „Zarządzaj wtyczkami”, aby wyszukać i zainstaluj wtyczkę Zależności OWASP.

Następnie wybierz „Dostępne wtyczki” i wyszukaj „OWASP Kontrola zależności”.

Wybierz najnowszą wersję (5.2.1 Od pisania) i kliknij „Pobierz teraz i zainstaluj po ponownym uruchomieniu."

Powinno to zainstalować wtyczkę kontroli zależności OWASP, umożliwiając jej użycie w rurociągach Jenkins.

Krok 2: Skonfiguruj wtyczkę Zależności OWASP

Następnym krokiem jest konfiguracja wtyczki kontroli zależności OWASP w Jenkins, umożliwiając nam korzystanie z niej na naszych zadaniach Jenkins.

Przejdź do zarządzania Jenkins -> Global Tool Configuration.

Przewiń w dół, aż zlokalizujesz sekcję „kontrola zależności”. Następnie kliknij sekcję instalacji Zależności.

To pozwala zdefiniować instalacje kontroli zależności na serwerze Jenkins. Kliknij „Dodaj kontrolę zależności”, aby skonfigurować nowy szachownica zależności.

Wprowadź nazwę instalacji sprawdzania zależności. Zwróć uwagę na tę nazwę, ponieważ będziesz jej potrzebować w późniejszych wersjach.

Wybierz „Zainstaluj automatycznie”. Wybierz żądaną wersję wtyczki i kliknij „Zapisz”, aby zastosować zmiany.

Krok 3: Korzystanie z wtyczki sprawdzania zależności

Po skonfigurowaniu instalacji wtyczki możemy przetestować wykorzystanie wtyczki na naszym serwerze Jenkins.

Do tej demonstracji używamy aplikacji internetowej DVWA, która jest podana w następującym linku:

https: // github.com/digininja/dvwa

Możesz rozwidlić repozytorium na swoje konto GitHub, sklonować je i hostować na serwerze lokalnym.

Otwórz deskę rozdzielczą Jenkins i wybierz pulpit „Otwórz Blue Ocean”, aby użyć interfejsu Blue Ocean.

Uwaga: wymaga to zainstalowania wtyczki Blue Ocean w systemie.

W desce rozdzielczej Blue Ocean wybierz „Nowy rurociąg”, aby utworzyć nowy rurociąg Jenkins.

Wybierz lokalizację, w której przechowujesz kod źródłowy. Jeśli rozwinąłeś repozytorium DVWA na swoje konto GitHub, wybierz Github.

Jeśli sklonowałeś i hostowałeś kod źródłowy na serwerze lokalnym, wybierz „git”, aby kontynuować.

Następnie określ adres URL do repozytorium DVWA. Do celów demonstracyjnych hostowaliśmy repozytorium DVWA na lokalnym serwerze GIT. Stąd podajemy link do repozytorium, jak pokazano następująco:

Następnie podaj nazwę użytkownika i hasło do swojego repozytorium.

Kliknij „Utwórz rurociąg”, aby przejść do następnego kroku. To tworzy nowy rurociąg i pozwala określić instrukcje kompilacji.

Uwaga: Ponieważ nasze repozytorium nie zawiera Jenkinsfile, Jenkins pozwala nam zdefiniować rurociąg na przedniej części.

Kliknij „Utwórz rurociąg”, aby zdefiniować instrukcje dla JenkinsFile.

Naciśnij przycisk Dodaj, aby dodać nowy etap. Dodaj pseudonim sceniczny.

Kliknij „Dodaj krok”, aby dodać nowy krok do etapu kompilacji.

Wyszukaj zależność i wybierz „Wywołaj kontrolę zależności”.

W następnej sekcji ustaw ODICinstalation na nazwę wtyczki zależności, którą utworzyłeś wcześniej w globalnym narzędziu konfiguracyjnym. W naszym przypadku przypisaliśmy nazwę „OWASP”.

W sekcji dodatkowych argumentów dodaj argumenty w następujący sposób:

--Format Html -Format XML

Umożliwia to wtyczce kontrolera zależności na opublikowanie wyników w formatach HTML i XML.

Kliknij tylną strzałkę i wybierz „Dodaj krok”, aby dodać kolejny krok do etapu kompilacji.

Wyszukaj „Zależność” i wybierz „Opublikuj wyniki kontroli zależności”.

Możesz pozostawić pola puste, ponieważ są one opcjonalne. Następnie kliknij poprzednią strzałkę, aby wrócić do kroku kompilacji.

Powinieneś teraz zobaczyć, że Twój etap kompilacji ma dwa kroki:

Kliknij „Zapisz”, aby opublikować JenkinsFile w repozytorium. Dodaj szczegóły zatwierdzenia i wybierz gałąź docelową.

Na koniec kliknij „Zapisz i uruchom”, aby opublikować zmiany i rozpocząć proces kompilacji.

Poczekaj, aż proces kompilacji zakończy się i na wtyczkę sprawdzania zależności, aby zeskanować kod i opublikować wyniki.

Rozwiń krok „Opublikuj wynik kontroli zależności”, aby wyświetlić lokalizację, w której zapisane są raporty.

Następnie możesz otworzyć raport w HTML lub XML, aby wyświetlić wyniki:

Wniosek

Nauczyłeś się dodawać i skonfigurować wtyczkę zależności OWASP do rurociągu Jenkins. Odkryłeś także, jak korzystać z wtyczki w rurociągu Jenkins i opublikować wyniki w formatach HTML lub XML.