Installation et utilisation du plug-in Azure DevOps Services
Cette tâche décrit comment installer et utiliser le plug-in Azure DevOps Services pour exécuter des analyses statiques ou dynamiques dans vos services et pipelines Azure DevOps Team Foundation Server (TFS). (Azure DevOps Services était auparavant connu sous le nom de Visual Studio Team Services (VSTS)).
Tutoriel
Installation du plug-in Azure DevOps/TFS
- Dans Azure DevOps Services, accédez à .
- Dans la fenêtre résultante, recherchez HCL.
- Sélectionnez et installez le plug-in HCL AppScan.
Configuration de l'environnement Azure DevOps
Pour configurer l'environnement Azure DevOps pour les tests :
- Connectez-vous aux services Azure DevOps.
- Créez une organisation :
- Cliquez sur Créer une organisation.
- Indiquez le nom de l'organisation.
- Spécifiez le nom du projet.
- Indiquez si le projet est public ou privé.
- Cliquez sur OK.
- Associez un référentiel de code au projet :
- Cliquez sur .
- Sélectionnez Importer.
- Sélectionnez un type de source pour le référentiel.
- Spécifiez une URL clone pour le référentiel.
- Cliquez sur Importer.
- Créez un pipeline de génération :
- Cliquez sur .
- Cliquez sur Nouveau pipeline.
- Cliquez sur Utiliser le concepteur visuel.
- Pour Sélectionner une source, cliquez sur Référentiel Git Azure, puis sélectionnez le référentiel à examiner et cliquez sur Continuer.
- Sélectionnez Pipeline vide, puis Continuer.
- Cliquez sur + en regard de Travail d'agent 1, puis recherchez NuGet et cliquez sur Ajouter.
- Sélectionnez NuGet restore à partir des tâches et orientez-le vers le fichier de solution. Sous Chemin d'accès à la solution, packages.config ou project.json, accédez au fichier .sln approprié.
- Cliquez sur + en regard de Travail d'agent 1 pour ajouter la première étape. Cliquez sur Build, puis sur Visual Studio Build et sur Ajouter.
- Cliquez sur Solution Build **/*.sln et dirigez-le vers le fichier de solution. Dans le champ Solution, accédez au fichier .sln approprié.
- Cliquez sur Enregistrer et mettre en file d'attente pour tester la génération.
Tandis que vous apportez des ajustements à la génération, ajoutez des commentaires qui reflètent ces modifications. Dès que vous cliquez sur Enregistrer et mettre en file d'attente, le numéro de génération se met à jour.
Utilisation du plug-in Azure DevOps/TFS
Ajout d'un test de sécurité
- Choisissez l'une des options suivantes :
- Pour Azure DevOps Services, choisissez dans le menu de la page d'accueil de votre projet.
- Pour TFS, choisissez .
- Modifiez le pipeline où vous voulez ajouter le test de sécurité.
- Dans l'onglet Tasks, cliquez sur + pour ajouter une tâche.
- Localisez la tâche en tant qu'HCL AppScan on Cloud, puis cliquez sur Ajouter.
- Dans votre processus de génération, cliquez sur la tâche Exécuter le test de sécurité HCL AppScan on Cloud nouvellement ajoutée.
- Spécifiez les Task Settings.
- Tapez une chaîne de caractères pour Display Name.
Elle deviendra le nom de la tâche dans le processus de génération.
- Sélectionnez les référentiels appropriés dans la liste.
Si le champ Credentials est vide, voir Ajout d'un nouveau point d'extrémité de service.
- Sélectionnez une application dans la liste Application.
Le menu déroulant Application est rempli en fonction des informations d'identification sélectionnées.
- Tapez un nom pour l'examen dans le champ Scan Name. Facultatif.
Il s'agira du nom de l'examen dans le service.
- Sélectionnez un type d'examen dans la liste Type d'examen :
- Sélectionnez Static Analyzer pour exécuter le test de sécurité de l'analyse statique.
Tableau 1. Paramètres d'examen Static Analyzer Paramètre Description Sous-répertoire de référentiel à examiner Saisissez une valeur ou sélectionnez-en une dans la boîte de dialogue du navigateur de fichiers du référentiel (facultatif). Par défaut, le service examine l'ensemble du référentiel. Pour limiter l'analyse à un sous-répertoire, indiquez ici le chemin relatif. Options supplémentaires Vitesse de l'examen Précisez un niveau d'optimisation d'examen en fonction des besoins et du temps nécessaire : - Simple Un examen
simple
effectue une analyse au niveau de la surface de vos fichiers afin d'identifier les problèmes à résoudre au plus vite. C'est celui qui prend le moins de temps à réaliser. - Equilibré : Un examen
balanced
propose un niveau de détail d'analyse et d'identification des problèmes de sécurité moyen et prend un peu plus de temps que l'examensimple
. - Profond : Défaut. Un examen
deep
réalise une analyse plus complète de vos fichiers afin d'identifier des vulnérabilités. Il prend généralement plus de temps. - Complet : Un examen
thorough
effectue une analyse complète afin de dresser la liste des vulnérabilités la plus exhaustive possible. Il s'agit de l'examen qui prend le plus de temps.
Remarque : La vitesse d'examen n'est pas nécessairement liée au nombre relatif de vulnérabilités détectées dans le code. Par exemple, une analysethorough
peut exclure les faux positifs qui pourraient être signalés lors d'un examensimple
et, par conséquent, signaler moins de vulnérabilités. - Simple Un examen
- Sélectionnez Static Analyzer pour exécuter le test de sécurité de l'analyse statique.
- Tapez une chaîne de caractères pour Display Name.
Options avancées
Les options avancées ne sont pas nécessaires pour utiliser le plug-in Azure DevOps/TFS. Pour paramétrer les propriétés avancées :
- Cliquez sur Advanced pour afficher des options supplémentaires.
- Cochez la case Email Notification pour recevoir un courrier électronique lorsque l'analyse de sécurité est terminée. Celui-ci sera envoyé à l'adresse électronique associée aux référentiels sélectionnés.
- Sélectionnez Exécuter en tant qu'examen personnel pour évaluer la sécurité relative d'une application en développement sans affecter les données d'examen de l'application globale, ou la conformité. La prise en charge des examens personnels n'est pas disponible dans la tâche HCL AppScan dépréciée.
- Sélectionnez Autoriser l'intervention par l'équipe d'activation des examens pour permettre à notre équipe d'activation d'examen d'intervenir en cas d'échec de l'examen ou si aucun problème n'est détecté, puis essayez de corriger la configuration. Cela peut retarder le résultat de l'examen. Cette option est sélectionnée par défaut.
- Sélectionnez Suspendre le travail jusqu'à la fin de l'analyse de sécurité : Cochez cette case si vous souhaitez que la génération Jenkins attende la disponibilité des résultats de l'analyse de sécurité avant de passer à l'étape suivante du pipeline.
- Sélectionnez Echec de la configuration de la génération pour spécifier les conditions qui provoqueront l'échec de la génération en fonction des résultats du test de sécurité. Echec de la configuration de la génération ne sera visible que si l'écran Suspendre le travail jusqu'à la fin de l'analyse de sécurité est sélectionné.
- Sélectionnez For noncompliance with application policies pour faire échouer la génération si des problèmes de sécurité non conformes aux règles de l'application sélectionnée sont détectés.
- Sélectionnez When the following conditions are true pour faire échouer la génération en fonction du nombre spécifié de problèmes de sécurité non conformes Total, de gravité critique, élevée, moyenne ou faible. Si plusieurs seuils sont spécifiés, une opération logique OR leur est appliquée à tous.
- Une fois la génération terminée, vous pouvez visualiser ou télécharger le rapport d'analyse à partir de l'onglet Application Security Report de la page Build Summary. Ce rapport inclut uniquement les problèmes non conformes.Le rapport de sécurité d'application et les journaux de génération irx. (pour les examens statiques) sont également disponibles pour téléchargement via les journaux de génération du pipeline Azure.Remarque : Notez que les rapports d'examen ne peuvent pas être téléchargés si l'option Suspendre le travail jusqu'à la fin de l'analyse de sécurité n'est pas sélectionnée. Dans ce cas, vous pouvez télécharger le rapport à partir du portail HCL AppScan On Cloud.
Ajout d'un nouveau point d'extrémité de service
Si, dans Task Settings, le champ Credentials est vide, vous devez configurer le point d'extrémité de service. Pour configurer un point d'extrémité de service pour l'utilisation du plug-in Azure DevOps/TFS :
- Dans Task Settings, cliquez sur Manage au-dessus du champ Credentials.
- Dans la fenêtre résultante, cliquez sur New Service Endpoint.
- Cliquez sur HCL AppScan on Cloud à partir de la liste des nœuds finaux.
- Remplissez les détails dans la boîte de dialogue résultante et cliquez sur OK :
Tableau 2. Propriétés des nœuds d'extrémité de service Propriété Valeur Nom de la connexion Nom logique de la connexion. URL du serveur KeyID Reportez-vous à Préparation du fichier de configuration. KeySecret
Optimisation des examens et analyse des résultats
Comme pour les autres examens, vous pouvez utiliser un fichier de configuration pour optimiser les examens en spécifiant les cibles individuelles à inclure ou à exclure de l'examen, et pour préciser des informations supplémentaires. Le fichier de configuration doit être placé dans le répertoire racine du projet afin que le plug-in le récupère pour l'examen.
Lorsqu'un examen est terminé, AppScan 360° génère un rapport de l'examen. Consultez les informations dans Résultats pour en savoir plus sur les rapports relatifs aux vulnérabilités de sécurité et sur la manière de résoudre les problèmes.