HCL AppScan Jenkins 插件可用于在您的 Jenkins 项目中增加安全性扫描支持。此插件可用于在 HCL AppScan on Cloud 上连接到 HCL AppScan on Cloud。
过程
-
在 Jenkins 中,安装 HCL AppScan 插件:
-
选择管理 Jenkins,然后选择管理插件。
-
选择可用选项卡,然后选中 HCL AppScan 旁边的复选框:
-
单击页面底部的安装按钮。在安装 HCL AppScan 插件之后,您必须先重新启动 Jenkins 再使用此插件。但是,您可能希望先安装此插件,然后再重新启动 Jenkins(例如,如果您有正在运行的作业)。
注: 根据您正在使用的 Jenkins 版本,这些步骤可能略有不同。
-
在重新启动 Jenkins 之后,添加凭证,以便您的构建项目可以连接到 AppScan on Cloud:
-
在 Jenkins 仪表板中,选择凭证。
-
在“凭证”页面中,添加新的全局凭证。为此,请选择(全局)链接旁边的箭头图标,然后选择添加凭证。
-
在“凭证”页面中,选择种类列表中的 HCL AppScan on Cloud 凭证。
-
指定用于连接的 AppScan on Cloud 服务器 URL。缺省情况下,URL 为
https://cloud.appscan.com
。
-
在 AppScan on Cloud 服务中生成 API 密钥时,您将收到密钥标识和密钥密码。在标识和密钥字段中输入值。如果您还没有生成 API 密钥,请点击链接以创建一个。
-
可选:使用标签字段来添加凭证的标识符。
-
在 Jenkins 仪表板中,选择您的 Jenkins 项目以进行编辑,然后单击配置。在项目的“常规”选项卡中完成以下步骤:
-
在“构建”部分中,选择用于添加构建步骤的操作旁边的箭头图标。此操作上的标签将根据项目类型而变化。示例包括添加构建步骤和添加构建后步骤。
-
选择运行 AppScan on Cloud/AppScan 360 安全性测试。
-
在凭证列表中,选择在上述步骤中添加的凭证。如果您为凭证添加了标签标识符,则列表中会显示该标签标识符。如果您没有添加标签,则将显示您的密钥标识和隐藏的私有密钥。
-
安全性扫描必须与现有 AppScan on Cloud 应用程序相关联。在应用程序列表中选择应用程序。
注: 系统将根据您的凭证来填充应用程序列表。应用程序必须已在 AppScan on Cloud 服务中存在。如果尚未在服务中创建任何应用程序,则列表将为空。
-
可选:在测试名称字段中,输入扫描的名称。如果完成了此字段,则扫描将在 AppScan on Cloud 服务中显示此名称(并且附加时间戳记)。此外,名称将用于区分各种 Jenkins 视图中的结果。
-
在测试类型部分中:
-
可选:电子邮件通知:如果想要在分析完成时接收电子邮件,请选中该复选框。
-
可选:允许扫描支持团队进行干预:选中此项后,如果扫描失败或找不到问题,那么我们的扫描支持团队将介入,并尝试修复配置。这可能会延迟扫描结果。缺省情况下,选择此选项。
-
可选:暂挂作业直至安全性分析完成:如果您希望 Jenkins 构建等待安全性分析结果可用之后才进入项目的下一步,请选中该复选框。
-
可选:选中在以下情况下构建失败复选框以启用构建失败条件。选中后,添加至少一个构建失败条件。为此,请选择添加条件,然后完成其条件。您可以设置在以下情况下构建失败:
- 安全性问题的总数大于您在字段中指定的数量。
- 严重性为严重的安全性问题的总数大于您在字段中指定的数量。
- 严重性为高的安全性问题的总数大于您在字段中指定的数量。
- 严重性为中的安全性问题的总数大于您在字段中指定的数量。
- 严重性为低的安全性问题的总数大于您在字段中指定的数量。
注:
- 如果添加了多个条件,则系统在处理这些条件时,将按照逻辑运算符
OR
来处理这些条件。
- 如果选中了在以下情况下构建失败复选框,则暂挂作业直至安全性分析完成选项将自动选中并变为必填字段。
- 如果取消选中了在以下情况下构建失败复选框,则您已添加的任何条件都会持续存在,但不会生效。仅当您手动删除这些条件时,才会移除这些条件。
-
单击保存以添加构建步骤并停止配置您的 Jenkins 项目。单击应用以添加构建步骤,但继续配置项目。
在添加构建步骤后,您可以将更多运行安全性测试构建步骤添加到您的项目中。
-
在运行 Jenkins 项目后,如果打开构建,您将看到安全性结果的快照。此外,安全性测试的结果链接将变为可用。单击这些链接将打开不合规的安全性报告。在项目的主状态页面中,如果有多组结果,您将看到安全性分析结果的趋势图。