Controllo della dipendenza OWASP in Jenkins
OWASP fornisce una vasta gamma di strumenti e utility per gli sviluppatori di software e i ricercatori della sicurezza per migliorare la sicurezza delle applicazioni Web.
Il checker di dipendenza OWASP è uno strumento che consente di scansionare e rilevare eventuali vulnerabilità divulgate pubblicamente che potrebbero essere contenute all'interno delle dipendenze di un determinato progetto. Lo strumento scansiona il progetto per le vulnerabilità note e genera un rapporto basato sui risultati.
Il rapporto include un collegamento a tutti i CVE trovati e i dettagli e la gravità di ciascuna vulnerabilità.
In questo tutorial, impareremo come utilizzare il plug -in di controllo della dipendenza OWASP in Jenkins per scansionare un progetto per le vulnerabilità note.
Passaggio 1: installare il plugin di dipendenza OWASP
Passaggio 1: installare il plugin di dipendenza OWASP
Il primo passo è installare il plug -in di dipendenza OWASP sul nostro server Jenkins. Accedi nel dashboard di Jenkins e naviga per "Gestisci Jenkins".
Seleziona "Gestisci plugin" per cercare e installare il plug -in di controllo dipendenza OWASP.
Successivamente, selezionare "Plugin disponibili" e cercare "Controllo della dipendenza OWASP".
Seleziona l'ultima versione (5.2.1 al momento della stesura) e fare clic su “Scarica ora e installa dopo il riavvio."
Questo dovrebbe installare il plug -in di controllo della dipendenza OWASP, che consente di utilizzarlo nelle pipeline Jenkins.
Passaggio 2: configurare il plug -in di controllo della dipendenza OWASP
Il prossimo passo è la configurazione del plug -in di controllo della dipendenza OWASP in Jenkins, che ci consente di utilizzarlo nei nostri lavori Jenkins.
Passa per gestire Jenkins -> Configurazione dello strumento globale.
Scorri verso il basso fino a individuare la sezione "Controllo della dipendenza". Successivamente, fai clic sulla sezione Installazione di controllo della dipendenza.
Ciò consente di definire le installazioni di controlli di dipendenza dal server Jenkins. Fare clic su "Aggiungi Controllo della dipendenza" per configurare un nuovo checker di dipendenza.
Immettere il nome dell'installazione. Nota questo nome poiché lo richiederai nelle build successive.
Seleziona "Installa automaticamente". Scegli la versione del plug -in desiderata e fai clic su "Salva" per applicare le modifiche.
Passaggio 3: utilizzando il plug -in di controllo della dipendenza
Una volta configurata l'installazione del plug -in, possiamo testare l'utilizzo del plug -in sul nostro server Jenkins.
Per questa dimostrazione, utilizziamo l'applicazione Web DVWA fornita nel seguente link:
https: // github.com/digininja/dvwa
È possibile formare il repository sul tuo account GitHub, clonarlo e ospitarlo su un server locale.
Apri il cruscotto Jenkins e seleziona il cruscotto "Open Blue Ocean" per utilizzare l'interfaccia blu oceano.
Nota: questo richiede di installare il plug -in oceano blu sul sistema.
Nella dashboard blu ocean.
Seleziona la posizione in cui memorizzi il codice sorgente. Se hai formato il repository DVWA sul tuo account GitHub, seleziona GitHub.
Se hai clonato e ospitato il codice sorgente su un server locale, selezionare "GIT" per procedere.
Successivamente, specificare l'URL nel repository DVWA. A fini dimostrativi, abbiamo ospitato il repository DVWA su un server GIT locale. Pertanto, forniamo il collegamento al repository come mostrato nel seguente:
Successivamente, specifica il nome utente e la password nel tuo repository.
Fai clic su "Crea pipeline" per procedere al passaggio successivo. Questo crea una nuova pipeline e consente di specificare le istruzioni di build.
Nota: poiché il nostro repository non contiene Jenkinsfile, Jenkins ci consente di definire la pipeline sul front -end.
Fai clic su "Crea pipeline" per definire le istruzioni per un Jenkinsfile.
Premere il pulsante Aggiungi per aggiungere una nuova fase. Aggiungi il nome d'arte.
Fai clic su "Aggiungi passaggio" per aggiungere un nuovo passaggio alla fase di build.
Cerca la dipendenza e seleziona "Invoca il controllo della dipendenza".
Nella sezione successiva, impostare ODCinstallation sul nome del plug -in di dipendenza che hai creato in precedenza nello strumento di configurazione globale. Nel nostro caso, abbiamo assegnato il nome, "Owasp".
Nella sezione Argomenti aggiuntivi, aggiungi gli argomenti come segue:
--Formato HTML -Format XML
Ciò consente al plug -in di strozzatore di dipendenza di pubblicare i risultati in formati HTML e XML.
Fai clic sulla freccia posteriore e seleziona "Aggiungi passaggio" per aggiungere un altro passaggio alla fase di build.
Cerca "dipendenza" e seleziona "Pubblica i risultati del controllo della dipendenza".
Puoi lasciare i campi vuoti poiché sono opzionali. Quindi, fai clic sulla freccia precedente per tornare al passaggio di build.
Dovresti ora vedere che il tuo palcoscenico di build ha due passaggi:
Fai clic su "Salva" per pubblicare Jenkinsfile nel repository. Aggiungi i dettagli del commit e seleziona il ramo target.
Infine, fai clic su "Salva ed esegui" per pubblicare le modifiche e avviare il processo di build.
Attendere il completamento del processo di build e il plug -in di strozzatore di dipendenza per scansionare il codice e pubblicare i risultati.
Espandi il passaggio "Pubblica il risultato della dipendenza" per visualizzare la posizione in cui vengono salvati i rapporti.
È quindi possibile aprire il rapporto in HTML o XML per visualizzare i risultati:
Conclusione
Hai imparato come aggiungere e configurare il plug -in di controllo della dipendenza OWASP alla pipeline Jenkins. Hai anche scoperto come utilizzare il plug -in nella pipeline Jenkins e pubblicare i risultati in formati HTML o XML.