Ajout de l'analyse de sécurité à votre serveur d'automatisation Jenkins

Le plug-in Jenkins HCL AppScan 360° vous permet d'ajouter une prise en charge des examens de sécurité à vos projets Jenkins. Le plug-in vous permet de vous connecter à HCL AppScan 360° sur HCL AppScan 360°.

Pourquoi et quand exécuter cette tâche

Procédure

  1. Dans Jenkins, installez le plug-in HCL AppScan 360° :
    1. Sélectionnez Gérer Jenkins, puis Gérer les plug-ins.
    2. Sélectionnez l'onglet Disponible et cochez la case en regard de HCL AppScan 360°
    3. Cliquez sur l'un des boutons d'installation en bas de la page. Après l'installation du plug-in HCL AppScan 360°, vous devrez redémarrer Jenkins avant de pouvoir l'utiliser. Cependant, vous pouvez l'installer, puis redémarrer Jenkins plus tard (par exemple si vous avez des travaux en cours).
    Remarque : Il se peut que cette procédure varie légèrement en fonction de la version de Jenkins que vous utilisez.
  2. Après avoir redémarré Jenkins, ajoutez des droits d'accès afin de pouvoir connecter votre projet créé à AppScan 360° :
    1. Dans le tableau de bord de Jenkins, sélectionnez Droits d'accès.
    2. Ajoutez de nouveaux droits d'accès globaux sur la page Droits d'accès. Pour ce faire, sélectionnez l'icône en forme de flèche à côté du lien (global), puis sélectionnez Ajouter des droits d'accès.
    3. Dans la page des droits d'accès HCL AppScan 360°, sélectionnez Droits d'accès dans la liste Type.
    4. Lorsque vous générez une clé d'API dans le service AppScan 360°, vous recevez un ID de clé et un mot de passe de clé. Entrez ces valeurs dans les champs ID et Mot de passe. Si vous n'avez pas encore généré de clé d'API, suivez le lien pour en créer une.
    5. Présence facultative : Utilisez le champ Libellé pour ajouter un identificateur aux droits d'accès.
  3. Dans le tableau de bord de Jenkins, sélectionnez votre projet Jenkins à modifier, puis cliquez sur Configurer. Suivez cette procédure dans l'onglet Général du projet :
    1. Dans la section Génération, sélectionnez l'icône en forme de flèche en regard de l'action d'ajout d'une étape de génération. Le libellé pour cette action va varier en fonction du type de projet. Vous trouverez à titre d'exemple Ajouter une étape de génération et Ajouter une étape post-génération.
    2. Sélectionnez Exécuter le test de sécurité AppScan on Cloud.
    3. Dans la liste Droits d'accès, sélectionnez les droits d'accès que vous avez ajoutés lors de l'étape précédente. Si vous ajoutez un identificateur de libellé pour les droits d'accès, il va s'afficher dans la liste. Si vous n'avez pas ajouté de libellé, votre ID de clé et votre mot de passe de clé masqué s'afficheront.
    4. Les examens de sécurité doivent être associés à une application AppScan 360° existante. Sélectionnez l'application dans la liste Application.
      Remarque : La liste Application est remplie en fonction de vos droits d'accès. L'application doit déjà exister dans le service AppScan 360°. La liste sera vide si aucune application n'a été créée dans le service.
    5. Présence facultative : Dans le champ Nom du test, entrez un nom pour l'examen. Si vous remplissez ce champ, l'examen portera ce nom (avec un horodatage ajouté) dans le service AppScan 360°. En outre, ce nom servira à différencier des résultats dans différentes vues de Jenkins.
    6. Dans la section Type de test :
      • Sélectionnez Dynamic Analyzer pour effectuer l'analyse d'une application qui s'exécute dans un navigateur. Si ce type de test est sélectionné, utilisez le champ URL de départ requis pour saisir l'URL depuis laquelle vous souhaitez que l'examen commence à explorer le site. Si vous cochez la case Options supplémentaires, ces paramètres supplémentaires sont également disponibles :
        • Type d'examen : Sélectionnez si votre site est un site de Transfert (en cours de développement) ou un site de Production (opérationnel et utilisé).
        • Optimisation : Indiquez si vous souhaitez effectuer un examen sans optimisation (examen détaillé régulier avec une durée d'examen plus longue et une couverture maximale des vulnérabilités, par défaut), rapide (jusqu'à deux fois plus rapide, couverture de 97 % des vulnérabilités), plus rapide (jusqu'à cinq fois plus rapide, couverture de 85 % des vulnérabilités) ou le plus rapide (jusqu'à dix fois plus rapide, couverture de 70 % des vulnérabilités).
        • Examiner le fichier : Si vous disposez d'un fichier d'examen AppScan Standard, saisissez son nom de fichier et son chemin d'accès complets dans ce champ.
        • Connexion à l'application : spécifiez les informations de connexion qui permettront à AppScan 360° d'examiner les pages nécessitant une authentification :
          • Sélectionnez Connexion non requise si une authentification supplémentaire n'est pas nécessaire.
          • Sélectionnez Connexion requise : Nom d'utilisateur et mot de passe pour fournir des données d'identification utilisateur valides pour la page :
            • Utilisateur de connexion : Un nom d'utilisateur valide.
            • Mot de passe de connexion : Un mot de passe admis.
            • Données d'identification supplémentaires : Une troisième donnée d'identification de connexion, si exigée par le site.
          • Sélectionnez Connexion requise : Connexion enregistrée pour fournir une séquence de connexion enregistrée pour la page. Détaillez le chemin du fichier de données de séquence de connexion dans Fichier de séquence de connexion. AppScan prend en charge le type de fichier .CONFIG pour ces fichiers.
      • Sélectionnez Static Analyzer pour exécuter le test de sécurité de l'analyse statique sur vos artefacts de génération. Si ce type de test est sélectionné, utilisez le champ Répertoire cible requis pour entrer le chemin d'accès complet au répertoire qui contient les fichiers que vous souhaitez examiner. Pour les types de fichiers pris en charge, consultez Prise en charge des langages de l'analyse statique.
    7. Présence facultative : Notification par courrier électronique : cochez cette case si vous souhaitez recevoir un courrier électronique au terme de l'analyse.
    8. Présence facultative : Autoriser l'intervention par l'équipe d'activation d'examens : Lorsque cette option est sélectionnée, notre équipe d'activation d'examens intervient en cas d'échec de l'examen ou si aucun problème n'est détecté, puis tente de corriger la configuration. Cela peut retarder le résultat de l'examen. Cette option est sélectionnée par défaut.
    9. Présence facultative : Suspendre le travail jusqu'à la fin de l'analyse de sécurité : cochez cette case si vous souhaitez que la génération Jenkins attende la disponibilité des résultats de l'analyse de sécurité avant de passer à l'étape suivante du projet.
    10. Présence facultative : Cochez la case Echec de la génération si pour activer les critères d'échec. Ensuite, ajoutez au moins une condition d'échec de la génération. Pour ce faire, sélectionnez Ajouter une condition puis renseignez ses critères. Vous pouvez mettre la génération en échec si :
      • le nombre total de problèmes de sécurité est supérieur au nombre que vous indiquez dans le champ ;
      • le nombre total de problèmes de sécurité à gravité critique est supérieur au nombre que vous indiquez dans le champ ;
      • le nombre total de problèmes de sécurité à sévérité élevée est supérieur au nombre que vous indiquez dans le champ ;
      • le nombre total de problèmes de sécurité à sévérité moyenne est supérieur au nombre que vous indiquez dans le champ ;
      • le nombre total de problèmes de sécurité à sévérité faible est supérieur au nombre que vous indiquez dans le champ ;
      Remarque :
      • Si plusieurs conditions sont ajoutées, elles seront traitées comme si elles étaient séparées par un opérateur OR.
      • Si la case Echec de la génération si est cochée, l'option Suspendre le travail jusqu'à la fin de l'analyse de sécurité va être automatiquement sélectionnée et requise.
      • Si la case Echec de la génération si n'est pas cochée, toutes les conditions que vous avez ajoutées vont persister, mais ne seront pas en vigueur. Les conditions sont supprimées à condition que vous le fassiez manuellement.
    11. Cliquez sur Sauvegarder pour ajouter l'étape de génération et arrêter la configuration de votre projet Jenkins. Cliquez sur Appliquer pour ajouter l'étape de génération et poursuivre la configuration du projet.
      Après avoir ajouté une étape de génération, vous pouvez ajouter plusieurs étapes de génération Exécuter le test de sécurité à votre projet.
  4. Après avoir exécuté votre projet Jenkins, si vous ouvrez votre génération, vous pouvez consulter une capture d'écran des résultats de sécurité. De plus, les liens Résultats relatifs aux tests de sécurité seront à votre disposition. Cliquez dessus pour ouvrir un rapport de sécurité non conforme. Dans la page de statut principale du projet, vous verrez un graphique des tendances des résultats de l'analyse de sécurité lorsque vous avez plusieurs groupes de résultats.