Installation et utilisation du plug-in Azure DevOps Services
Cette tâche décrit la manière d'installer et d'utiliser le plug-in Azure DevOps Services pour effectuer des examens statiques ou dynamiques dans vos pipelines Azure DevOps Services et Team Foundation Server (TFS). (Azure DevOps Services était auparavant connu sous le nom de Visual Studio Team Services (VSTS)).
Tutoriel
Installation du plug-in Azure DevOps/TFS
- Dans Azure DevOps Services, accédez à .
- Dans la fenêtre résultante, recherchez HCL.
- Sélectionnez et installez le plug-in HCL AppScan.
Configuration de l'environnement Azure DevOps
Pour configurer l'environnement Azure DevOps pour les tests :
- Connectez-vous aux services Azure DevOps.
- Créez une organisation :
- Cliquez sur Créer une organisation.
- Indiquez le nom de l'organisation.
- Spécifiez un nom de projet.
- Indiquez si le projet est public ou privé.
- Cliquez sur OK.
- Associez un référentiel de code au projet :
- Cliquez sur .
- Sélectionnez Importer.
- Sélectionnez un type de source pour le référentiel.
- Spécifiez une URL clone pour le référentiel.
- Cliquez sur Importer.
- Créez un pipeline de génération :
- Cliquez sur .
- Cliquez sur Nouveau pipeline.
- Cliquez sur Utiliser le concepteur visuel.
- Pour Sélectionner une source, cliquez sur Référentiel Git Azure, puis sélectionnez le référentiel à examiner et cliquez sur Continuer.
- Sélectionnez Pipeline vide, puis Continuer.
- Cliquez sur + en regard de Travail d'agent 1, puis recherchez NuGet et cliquez sur Ajouter.
- Sélectionnez NuGet restore à partir des tâches et orientez-le vers le fichier de solution. Sous Chemin d'accès à la solution, packages.config ou project.json, accédez au fichier .sln approprié.
- Cliquez sur + en regard de Travail d'agent 1 pour ajouter la première étape. Cliquez sur Build, puis sur Visual Studio Build et sur Ajouter.
- Cliquez sur Solution Build **/*.sln et dirigez-le vers le fichier de solution. Dans le champ Solution, accédez au fichier .sln approprié.
- Cliquez sur Enregistrer et mettre en file d'attente pour tester la génération.
Tandis que vous apportez des ajustements à la génération, ajoutez des commentaires qui reflètent ces modifications. Dès que vous cliquez sur Enregistrer et mettre en file d'attente, le numéro de génération se met à jour.
Utilisation du plug-in Azure DevOps/TFS
Ajout d'un test de sécurité
- Choisissez l'une des options suivantes :
- Pour Azure DevOps Services, choisissez dans le menu de la page d'accueil de votre projet.
- Pour TFS, choisissez .
- Modifiez le pipeline où vous voulez ajouter le test de sécurité.
- Dans l'onglet Tasks, cliquez sur + pour ajouter une tâche.
- Localisez la tâche en tant qu'HCL AppScan on Cloud, puis cliquez sur Ajouter.
- Dans votre processus de génération, cliquez sur la tâche Exécuter le test de sécurité HCL AppScan on Cloud nouvellement ajoutée.
- Spécifiez les Task Settings.
- Tapez une chaîne de caractères pour Display Name.
Elle deviendra le nom de la tâche dans le processus de génération.
- Sélectionnez les référentiels appropriés dans la liste.
Si le champ Credentials est vide, voir Ajout d'un nouveau point d'extrémité de service.
- Sélectionnez une application dans la liste Application.
Le menu déroulant Application est rempli en fonction des informations d'identification sélectionnées.
- Tapez un nom pour l'examen dans le champ Scan Name. Facultatif.
Il s'agira du nom de l'examen dans le service.
- Sélectionnez un type d'examen dans la liste Type d'examen :
- Sélectionnez Static Analyzer pour exécuter le test de sécurité de l'analyse statique.
Tableau 1. Paramètres d'examen Static Analyzer Paramètre Description Sous-répertoire de référentiel à examiner Saisissez une valeur ou sélectionnez-en une dans la boîte de dialogue du navigateur de fichiers du référentiel (facultatif). Par défaut, le service examine l'ensemble du référentiel. Pour limiter l'analyse à un sous-répertoire, indiquez ici le chemin relatif. Options supplémentaires Vitesse de l'examen Précisez un niveau d'optimisation d'examen en fonction des besoins et du temps nécessaire : - Simple Un examen
simple
effectue une analyse au niveau de la surface de vos fichiers afin d'identifier les problèmes à corriger au plus vite. C'est celui qui prend le moins de temps à réaliser. - Equilibré : Un examen
équilibré
propose un niveau de détail d'analyse et d'identification des problèmes de sécurité moyen et prend un peu plus de temps que l'examensimple
. - Profond : valeur par défaut. Un examen
profond
réalise une analyse plus complète de vos fichiers afin d'identifier des vulnérabilités. Il prend généralement plus de temps. - Complet : Un examen
complet
effectue une analyse exhaustive en vue d'identifier la liste des vulnérabilités la plus complète et est celui qui prend le plus de temps.
Remarque : La vitesse d'examen n'est pas nécessairement liée au nombre relatif de vulnérabilités détectées dans le code. Par exemple, une analysecomplète
peut exclure des faux positifs susceptibles d'être signalés dans un examensimple
et donc indiquer moins de vulnérabilités. - Simple Un examen
- Sélectionnez Dynamic Analyzer pour effectuer l'analyse d'une application qui s'exécute dans un navigateur.
Tableau 2. Paramètres d'examen Dynamic Analyzer Paramètre Description URL de départ Entrez l'URL depuis laquelle vous souhaitez que l'examen commence à explorer le site.
Si vous sélectionnez Options supplémentaires, ces paramètres supplémentaires sont également disponibles :
Options supplémentaires Type de site Indiquez si votre site est un site de Transfert (en cours de développement) ou un site de Production (opérationnel et utilisé), ou sélectionnez S/O. Optimisation des tests Indiquez un niveau d'optimisation : - Sans optimisation (Par défaut) : Examen profond standard. La durée de l'examen est plus longue. Couverture maximale des vulnérabilités.
- Rapide : Jusqu'à deux fois plus rapide. Couverture de 97 % des vulnérabilités environ.
- Plus rapide : Jusqu'à cinq fois plus rapide. Couverture de 85 % des vulnérabilités.
- Le plus rapide : Jusqu'à dix fois plus rapide. Couverture de 70 % des vulnérabilités environ.
Pour en savoir plus sur l'optimisation du test ainsi que sur la profondeur et la vitesse d'examen associées, voir Optimisation du test.
Utilisateur de connexion et Mot de passe de connexion Si l'application doit pouvoir se connecter, entrez des données d'identification utilisateur valides. Données d'identification tierces si votre application a besoin d'un troisième droit d'accès, entrez-le dans ce champ. Presence Si votre application n'est pas sur Internet, entrez votre nom d'instance Presence AppScan. Pour plus d'informations sur la création d'une instance AppScan Presence, voir AppScan Presence. Examiner un fichier Si vous avez un fichier d'examen AppScan Standard, entrez le nom de fichier et le chemin d'accès relatifs dans ce champ. Pour en savoir plus sur les fichiers d'examen AppScan Standard, voir Utilisation d'examens ou de modèles AppScan Standard. Pour en savoir plus sur les paramètres de l'analyse dynamique, voir Créer un examen (configuration complète).
- Sélectionnez Static Analyzer pour exécuter le test de sécurité de l'analyse statique.
- Tapez une chaîne de caractères pour Display Name.
Options avancées
Les options avancées ne sont pas nécessaires pour utiliser le plug-in Azure DevOps/TFS. Pour paramétrer les propriétés avancées :
- Cliquez sur Advanced pour afficher des options supplémentaires.
- Cochez la case Email Notification pour recevoir un courrier électronique lorsque l'analyse de sécurité est terminée. Celui-ci sera envoyé à l'adresse électronique associée aux référentiels sélectionnés.
- Sélectionnez Exécuter en tant qu'examen personnel pour évaluer la sécurité relative d'une application en développement sans affecter les données d'examen de l'application globale, ou la conformité. La prise en charge des examens personnels n'est pas disponible dans la tâche HCL AppScan dépréciée.
- Sélectionnez Autoriser l'intervention par l'équipe d'activation des examens pour permettre à notre équipe d'activation d'examen d'intervenir en cas d'échec de l'examen ou si aucun problème n'est détecté, puis essayez de corriger la configuration. Cela peut retarder le résultat de l'examen. Cette option est sélectionnée par défaut.
- Sélectionnez Suspendre le travail jusqu'à la fin de l'analyse de sécurité : Cochez cette case si vous souhaitez que la génération Jenkins attende la disponibilité des résultats de l'analyse de sécurité avant de passer à l'étape suivante du pipeline.
- Sélectionnez Echec de la configuration de la génération pour spécifier les conditions qui provoqueront l'échec de la génération en fonction des résultats du test de sécurité. Echec de la configuration de la génération ne sera visible que si l'écran Suspendre le travail jusqu'à la fin de l'analyse de sécurité est sélectionné.
- Sélectionnez For noncompliance with application policies pour faire échouer la génération si des problèmes de sécurité non conformes aux règles de l'application sélectionnée sont détectés.
- Sélectionnez When the following conditions are true pour faire échouer la génération en fonction du nombre spécifié de problèmes de sécurité non conformes Total, de gravité Critique, Elevée, Moyenne ou Faible. Si plusieurs seuils sont spécifiés, une opération logique OR leur est appliquée à tous.
- Une fois la génération terminée, vous pouvez visualiser ou télécharger le rapport d'analyse à partir de l'onglet Application Security Report de la page Build Summary. Ce rapport inclut uniquement les problèmes non conformes.Le rapport de sécurité d'application et les journaux de génération irx. (pour les examens statiques) sont également disponibles pour téléchargement via les journaux de génération du pipeline Azure.Remarque : Notez que les rapports d'examen ne peuvent pas être téléchargés si l'option Suspendre le travail jusqu'à la fin de l'analyse de sécurité n'est pas sélectionnée. Dans ce cas, vous pouvez télécharger le rapport à partir du portail HCL AppScan On Cloud.
Ajout d'un nouveau point d'extrémité de service
Si, dans Task Settings, le champ Credentials est vide, vous devez configurer le point d'extrémité de service. Pour configurer un point d'extrémité de service pour l'utilisation du plug-in Azure DevOps/TFS :
- Dans Task Settings, cliquez sur Manage au-dessus du champ Credentials.
- Dans la fenêtre résultante, cliquez sur New Service Endpoint.
- Cliquez sur HCL AppScan on Cloud à partir de la liste des nœuds finaux.
- Remplissez les détails dans la boîte de dialogue résultante et cliquez sur OK :
Tableau 3. Propriétés des nœuds d'extrémité de service Propriété Valeur Nom de connexion Nom logique de la connexion. URL de serveur -
AppScan sur Cloud Centre de données des Etats-Unis : http://cloud.appscan.com/
-
AppScan sur Cloud Centre de données européen : http://eu.cloud.appscan.com/
KeyID Procurez-vous un KeyID et un KeySecret au niveau du service AppScan sur Cloud pour le centre de données que vous utilisez : - Page de clés d'API du centre de données des Etats-Unis
- Page clé de l'API du centre de données européen
KeySecret -
Optimisation des examens et analyse des résultats
Comme pour les autres examens, vous pouvez utiliser un fichier de configuration pour optimiser les examens en spécifiant les cibles individuelles à inclure ou à exclure de l'examen, et pour préciser des informations supplémentaires. Le fichier de configuration doit être placé dans le répertoire racine du projet afin que le plug-in le récupère pour balayage.
Lorsqu'un examen est terminé, AppScan sur Cloud génère un rapport de l'examen. Consultez les informations dans Résultats pour en savoir plus sur les rapports relatifs aux vulnérabilités de sécurité et sur la manière de résoudre les problèmes.