Ajout de l'analyse de sécurité à votre serveur d'automatisation Jenkins

Le plug-in Jenkins HCL AppScan vous permet d'ajouter une prise en charge des examens de sécurité à vos projets Jenkins. Le plug-in vous permet de vous connecter à HCL AppScan 360° sur HCL AppScan 360°.

Pourquoi et quand exécuter cette tâche

Procédure

  1. Dans Jenkins, installez le plug-in HCL AppScan :
    1. Sélectionnez Gérer Jenkins, puis Gérer les plug-ins.
    2. Sélectionnez l'onglet Disponible et cochez la case en regard de HCL AppScan.
    3. Cliquez sur l'un des boutons d'installation en bas de la page. Après l'installation du plug-in HCL AppScan, vous devez redémarrer Jenkins avant de pouvoir l'utiliser. Cependant, vous pouvez l'installer, puis redémarrer Jenkins plus tard (par exemple si vous avez des travaux en cours).
    Remarque : Il se peut que cette procédure varie légèrement en fonction de la version de Jenkins que vous utilisez.
  2. Après avoir redémarré Jenkins, ajoutez des droits d'accès afin de pouvoir connecter votre projet de génération à AppScan 360° :
    1. Dans le tableau de bord de Jenkins, sélectionnez Droits d'accès.
    2. Ajoutez de nouveaux droits d'accès globaux sur la page Droits d'accès. Pour ce faire, sélectionnez l'icône en forme de flèche à côté du lien (global), puis sélectionnez Ajouter des droits d'accès.
    3. Dans la page des droits d'accès HCL AppScan 360°, sélectionnez Droits d'accès dans la liste Type.
    4. Spécifiez une URL de serveur AppScan 360° pour la connexion. Par défaut, il s'agit de l'URL https://cloud.appscan.com.
    5. Lorsque vous générez une clé d'API dans le service AppScan 360°, vous recevez un ID de clé et un mot de passe de clé. Entrez ces valeurs dans les champs ID et Mot de passe. Si vous n'avez pas encore généré de clé API, suivez le lien pour en créer une.
    6. Facultatif : Utilisez le champ Libellé pour ajouter un identificateur aux droits d'accès.
  3. Dans le tableau de bord de Jenkins, sélectionnez votre projet Jenkins à modifier, puis cliquez sur Configurer. Suivez cette procédure dans l'onglet Général du projet :
    1. Dans la section Génération, sélectionnez l'icône en forme de flèche en regard de l'action d'ajout d'une étape de génération. Le libellé pour cette action variera en fonction du type de projet. Vous trouverez à titre d'exemple Ajouter une étape de génération et Ajouter une étape post-génération.
    2. Sélectionnez Exécuter le test de sécurité AppScan on Cloud/AppScan 360°.
    3. Dans la liste Droits d'accès, sélectionnez les droits d'accès que vous avez ajoutés lors de l'étape précédente. Si vous ajoutez un identificateur de libellé pour les droits d'accès, il s'affichera dans la liste. Si vous n'avez pas ajouté de libellé, votre ID de clé et votre mot de passe de clé masqué s'afficheront.
    4. Les examens de sécurité doivent être associés à une application AppScan 360° existante. Sélectionnez l'application dans la liste Application.
      Remarque : La liste Application est remplie en fonction de vos droits d'accès. L'application doit déjà exister dans le service AppScan 360°. La liste sera vide si aucune application n'a été créée dans le service.
    5. Facultatif : Dans le champ Nom du test, entrez un nom pour l'examen. Si vous remplissez ce champ, l'examen portera ce nom (avec l'horodatage) dans le service AppScan 360°. En outre, ce nom servira à différencier des résultats dans différentes vues de Jenkins.
    6. Dans la section Type de test :
      • Sélectionnez Analyse statique (SAST) pour exécuter le test de sécurité de l'analyse statique sur vos artefacts de génération. Si ce type de test est sélectionné, utilisez le champ Répertoire cible requis pour entrer le chemin d'accès complet au répertoire qui contient les fichiers que vous souhaitez examiner. Pour connaître les types de fichiers pris en charge, voir Prise en charge des langages de l'analyse statique.
        • Méthode d'examen :
          • Générer des fichiers IRX : Générez une archive IRX localement à partir des fichiers et dossiers spécifiés.
            • Code source uniquement : Indiquez si vous souhaitez analyser uniquement le code source.
            • Inclure SCA : incluez l'analyse des packages Open Source. L'option Inclure SCA crée un examen SCA en complément d'un examen SAST.
              Remarque : Software Composition Analysis (SCA) est disponible uniquement pour AppScan on Cloud.
            • Vitesse de l'examen : Optimisez la vitesse d'examen et les résultats en fonction de l'étape de développement. Choisissez des examens plus rapides au début du cycle de développement pour identifier les problèmes de sécurité de base ; choisissez des examens approfondis plus tard dans le cycle pour garantir une couverture complète de votre application.
              • Normal : Effectue un examen complet du code, en identifiant les vulnérabilités en détail et en différenciant les problèmes qui pourraient être signalés comme des faux positifs. Cet examen prend le plus de temps.
              • Rapide : Effectue un examen complet de vos fichiers pour identifier les vulnérabilités, prenant plus de temps à terminer que les examens « plus rapides » ou « le plus rapide ».
              • Plus rapide : Fournit un niveau moyen de détail de l'examen et de l'identification des problèmes de sécurité. Cet examen prend plus de temps à terminer que l'option « le plus rapide ».
              • Le plus rapide : Effectue un examen de surface de vos fichiers pour identifier les problèmes les plus urgents à résoudre, en prenant le moins de temps possible.
          • Chargement de fichiers et de dossiers : Téléchargez des fichiers et des dossiers directement sur AppScan pour une préparation immédiate du balayage et un traitement plus rapide. Si vous cochez la case Options supplémentaires, ce paramètre supplémentaire est également disponible :
            • Inclure SCA : incluez l'analyse des packages Open Source. L'option Inclure SCA crée un examen SCA en complément d'un examen SAST.
              Remarque : Software Composition Analysis (SCA) est disponible uniquement pour AppScan on Cloud.
    7. Facultatif : Notification par courrier électronique : Cochez cette case si vous souhaitez recevoir un e-mail au terme de l'analyse.
    8. Facultatif : Autoriser l'intervention par l'équipe d'activation d'examens : Lorsque cette option est sélectionnée, notre équipe d'activation d'examens intervient en cas d'échec de l'examen ou si aucun problème n'est détecté, puis tente de corriger la configuration. Cela peut retarder le résultat de l'examen. Cette option est sélectionnée par défaut.
    9. Facultatif : Suspendre le travail jusqu'à la fin de l'analyse de sécurité : Cochez cette case si vous souhaitez que la génération Jenkins attende que les résultats de l'analyse de sécurité soient disponibles avant de passer à l'étape suivante du projet.
    10. Facultatif : Cochez la case Echec de la génération si pour activer les critères d'échec. Une fois sélectionné, ajoutez au moins une condition d'échec de la génération. Pour ce faire, sélectionnez Ajouter une condition puis renseignez ses critères. Vous pouvez mettre la génération en échec si :
      • le nombre total de problèmes de sécurité est supérieur au nombre que vous indiquez dans le champ ;
      • le nombre total de problèmes de sécurité à sévérité critique est supérieur au nombre que vous indiquez dans le champ ;
      • le nombre total de problèmes de sécurité à sévérité élevée est supérieur au nombre que vous indiquez dans le champ ;
      • le nombre total de problèmes de sécurité à sévérité moyenne est supérieur au nombre que vous indiquez dans le champ ;
      • le nombre total de problèmes de sécurité à sévérité faible est supérieur au nombre que vous indiquez dans le champ ;
      Remarque :
      • Si plusieurs conditions sont ajoutées, elles seront traitées comme si elles étaient séparées par un opérateur OU logique.
      • Si la case Echec de la génération si est cochée, l'option Suspendre le travail jusqu'à la fin de l'analyse de sécurité va être automatiquement sélectionnée et requise.
      • Si la case Echec de la génération si n'est pas cochée, toutes les conditions que vous avez ajoutées vont persister, mais ne seront pas en vigueur. Les conditions sont supprimées à condition que vous le fassiez manuellement.
    11. Cliquez sur Sauvegarder pour ajouter l'étape de génération et arrêter la configuration de votre projet Jenkins. Cliquez sur Appliquer pour ajouter l'étape de génération et poursuivre la configuration du projet.
      Après avoir ajouté une étape de génération, vous pouvez ajouter plusieurs étapes de génération Exécuter le test de sécurité à votre projet.
  4. Après avoir exécuté votre projet Jenkins, si vous ouvrez la génération, vous pouvez consulter une capture d'écran des résultats de sécurité. De plus, les liens Résultats relatifs aux tests de sécurité seront à votre disposition. Cliquez dessus pour ouvrir un rapport de sécurité non conforme. Dans la page de statut principale du projet, vous verrez un graphique de tendance des résultats de l'analyse de sécurité lorsque vous avez plusieurs groupes de résultats.