將安全分析新增至 Jenkins 自動化伺服器

HCL AppScan 360° Jenkins 外掛程式可讓您將安全掃描支援新增至 Jenkins 專案。此外掛程式可讓您連接到 HCL AppScan 360° 上的 HCL AppScan 360°

執行這項作業的原因和時機

程序

  1. 在 Jenkins 中,安裝 HCL AppScan 360° 外掛程式:
    1. 選取「管理 Jenkins」,然後選取「管理外掛程式」。
    2. 選取「可用」標籤,然後選取此項目旁的核取方塊: HCL AppScan 360°
    3. 按一下位於頁面底端的安裝按鈕。在安裝 HCL AppScan 360° 外掛程式之後,您將需要重新啟動 Jenkins 後再使用它。不過,您可能想要安裝它,然後在稍後重新啟動 Jenkins(例如,如果您有執行中的工作)。
    註: 視您正在執行的 Jenkins 版本而定,這些步驟可能會稍微不同。
  2. 在重新啟動 Jenkins 之後,新增認證,以便建置專案可以連接到 AppScan 360°
    1. 在 Jenkins 儀表板中,選取「認證」。
    2. 在「認證」頁面中,新增全域認證。如果要這麼做,請選取(全域)連結旁邊的箭頭圖示,然後選取「新增認證」。
    3. 在「認證」頁面中,選取「類型」清單中的 HCL AppScan 360° 認證。
    4. AppScan 360° 服務中產生 API 金鑰時,您會接收到金鑰 ID金鑰密碼。請在「ID」和「密碼」欄位中輸入這些值。如果您尚未產生 API 金鑰,請遵循連結以建立 API 金鑰。
    5. 選用項目:使用「標籤」欄位來新增認證的 ID。
  3. 在 Jenkins 儀表板中,選取 Jenkins 專案來編輯它,然後按一下「配置」。在專案的「一般」標籤中完成這些步驟:
    1. 在「建置」區段中,選取用於新增建置步驟的動作旁邊的箭頭圖示。此動作上的標籤將會隨專案的類型而異。範例包括新增建置步驟新增後建置步驟
    2. 選取「執行 AppScan on Cloud 安全測試」。
    3. 在「認證」清單中,選取您在上面步驟中新增的認證。如果您新增了認證的標籤 ID,它會出現在清單中。如果您未新增標籤,則會顯示「金鑰 ID」及隱藏的「金鑰密碼」。
    4. 安全掃描必須與現有的 AppScan 360° 應用程式相關聯。選取「應用程式」清單中的應用程式。
      註: 隨即根據您的認證移入「應用程式」清單。該應用程式必須已存在於 AppScan 360° 服務中。如果尚未在服務中建立任何應用程式,則此清單將會是空的。
    5. 選用項目:在「測試名稱」欄位中,輸入掃描的名稱。如果您完成此欄位,掃描在 AppScan 360° 服務中將會具有該名稱(附加時間戳記)。此外,還會使用該名稱來區分各種 Jenkins 視圖中的結果。
    6. 在「測試類型」區段中:
      • 選取「動態分析器」,對執行於瀏覽器中的應用程式執行分析。如果選取了此測試類型,請使用所需的「起始 URL」欄位來輸入您要掃描從該處開始探索網站的 URL。如果您選取「其他選項」核取方塊,則還有這些選用設定可用:
        • 掃描類型:選取您的網站是「暫置」網站(開發中)或「正式作業」網站(現正使用中)。
        • 最佳化:指定要以無最佳化(較久掃描時間和最大漏洞涵蓋範圍的一般深度掃描,預設值)、快速(速度加快高達兩倍,~97% 漏洞涵蓋範圍)、較快(速度加快高達五倍,~85% 漏洞涵蓋範圍),或是最快(速度加快高達十倍,~70% 漏洞涵蓋範圍)進行掃描。
        • 掃描檔案:如果您擁有 AppScan 掃描檔案,請在此欄位中輸入其完整路徑和檔名。
        • 應用程式登入:請指定登入資訊,該資訊要允許 AppScan 360° 掃描需鑑別頁面:
          • 如果不需要其他鑑別,請選取不需要登入
          • 請選取需要登入:提供頁面有效使用者認證的使用者名稱和密碼
            • 登入使用者:有效的使用者名稱。
            • 登入密碼:有效的密碼。
            • 額外認證:網站所需的第三個登入認證。
          • 請選取需要登入:記錄登入,以提供頁面的已錄製登入序列。詳列登入序列檔案中的登入序列資料檔案路徑。AppScan 支援此類檔案的 .CONFIG 檔案類型。
      • 選取「靜態分析器」以針對建置構件執行靜態分析安全測試。如果選取了此測試類型,請在必填的「目標目錄」欄位輸入包含要掃描檔案目錄的完整路徑。如需受支援的檔案類型,請參閱靜態分析語言支援
    7. 選用項目:電子郵件通知:如果您要在分析完成時接收電子郵件,請選取此勾選框。
    8. 選用項目:允許掃描啟用團隊介入:若選取此選項,掃描啟用團隊會在掃描失敗或找不到問題時介入,並嘗試修正配置。這可能會導致掃描結果延遲。依預設,會選取此選項。
    9. 選用項目:暫停工作直到安全分析完成:如果您要在進行專案中的下一步之前讓 Jenkins 建置等待安全分析結果可用,請選取此勾選框。
    10. 選用項目:選取「建置失敗條件」勾選框可啟用建置失敗準則。在選取之後,請新增至少一個建置失敗條件。如果要這麼做,請選取「新增條件」,然後完成其準則。您可以設定建置在下列情況失敗:
      • 安全問題的總數大於您在欄位中指定的數目。
      • 重大嚴重性安全問題的總數大於您在欄位中指定的數目。
      • 嚴重性安全問題的總數大於您在欄位中指定的數目。
      • 嚴重性安全問題的總數大於您在欄位中指定的數目。
      • 嚴重性安全問題的總數大於您在欄位中指定的數目。
      註:
      • 如果新增了多個條件,則會視同以邏輯 OR 區隔處理。
      • 如果選取了「建置失敗條件」,「暫停工作直到安全分析完成」選項將會自動變成被選定並且為必要。
      • 如果取消選取了「建置失敗條件」勾選框,則您已新增的任何條件將會持續保存但沒有作用。只有手動刪除條件才會移除它們。
    11. 按一下「儲存」以新增建置步驟及停止配置 Jenkins 專案。按一下「套用」以新增建置步驟但繼續配置專案。
      在新增建置步驟之後,您可以將更多執行安全測試建置步驟新增至專案。
  4. 在執行 Jenkins 專案之後,如果您開啟建置,將會看到安全發現項目的 Snapshot。此外,將會有安全測試的結果連結可用。按一下這些連結將會開啟不符規範的安全報告。在專案的主要狀態頁面中,當您有多組結果時,您將會看到安全分析結果的趨勢圖。