โดยBiew Apaporn - 10/03/2022
โปรเจ็กต์เว็บแอปพลิเคชันทั้งหมดใช้สถาปัตยกรรมไคลเอ็นต์-เซิร์ฟเวอร์ โดยมีการพุชโค้ดไปยังที่เก็บออนไลน์เพื่อความสะดวกในการทำงานร่วมกัน วิธีการนี้ยังมีประโยชน์ในการเปิดใช้การรวมและการส่งมอบอย่างต่อเนื่อง (CI/CD) ของแอปและเซิร์ฟเวอร์ของเรา Azure DevOps เป็นแพลตฟอร์มหนึ่งที่นำเสนอแพ็คเกจที่สมบูรณ์ตั้งแต่การสร้างไปจนถึงการปรับใช้งานแอปพลิเคชันและการจัดการไปป์ไลน์ CI/CD ของเรา เคยคิดไหมว่าแอปพลิเคชันที่เพิ่งปรับใช้ใหม่ของเรามีความปลอดภัยเพียงใด และมีวิธีรวมการทดสอบความปลอดภัยเข้ากับไปป์ไลน์ CI/CD หรือไม่ คำตอบคือใช่ ให้เราสำรวจวิธีการทำสิ่งนี้ให้สำเร็จโดยใช้ส่วนขยาย HCL AppScan
การติดตั้งและการกำหนดค่า
สามารถดาวน์โหลดส่วนขยายได้ฟรีจากAzure DevOps Marketplace
เมื่อติดตั้งส่วนขยายแล้ว จะต้องกำหนดค่าด้วยข้อมูลประจำตัว AppScan Enterprise (ASE) ด้วยKeyIDและใช้การเชื่อมต่อบริการใน Azure DevOps
ป้อน URL เซิร์ฟเวอร์ ASE (รูปแบบของ URL เหมือนกับ https://<hostname>:<port>/ase) ระบุคีย์และข้อมูลลับ ไปที่ ลิงก์นี้เพื่อสร้างรหัสและรหัสลับใน ASE
การกำหนดค่าท่อ
สร้างไปป์ไลน์ใหม่และเพิ่มงานประเภท HCL AppScan Enterprise ดังที่แสดงด้านล่าง
ป้อนรายละเอียดที่เกี่ยวข้องสำหรับงานที่เพิ่มในไปป์ไลน์ เราสามารถรับ ID โฟลเดอร์ ID เทมเพลต ID นโยบายการทดสอบ และ ID แอปพลิเคชันโดยใช้ASE REST API ฟิลด์ “URL เริ่มต้น” คือ URL ของแอปพลิเคชันที่จะสแกนความปลอดภัย ตัวอย่างเดียวกันมีดังแสดงด้านล่าง
การใช้สคริปต์ YAML
สคริปต์ yaml สามารถใช้สำหรับการกำหนดค่าการสแกนตามที่แสดงด้านล่าง
ตัวอย่างแสดงอยู่ด้านล่าง
ขั้นตอน:
-task:HCLTechnologies.ApplicationSecurity-VSTS.custom-ase-task.HCLAppScan Enterprise@2
displayName: ‘เรียกใช้ HCL AppScan Enterprise Security Test’
อินพุต:
ServiceEndPointAse: ‘ASE_227’
ชื่องาน: ‘MyFirst_Azure_Scan’
รหัสโฟลเดอร์: 4
templateId: 7
testPolicyId: 8
startURL: ‘https://demo.testfire.net’
วิธีการเข้าสู่ระบบ: ไม่มี
การเพิ่มประสิทธิภาพ: เร็วที่สุด
ระงับ: เท็จ
หากมีการใช้สคริปต์ yaml สำหรับการปรับใช้ของคุณ คุณสามารถเพิ่มขั้นตอนข้างต้นได้ ถ้าไม่คุณสามารถเพิ่มงานตามที่กล่าวไว้ในรูปก่อนหน้า
ส่วนขยาย HCL AppScan พร้อมที่จะรวมเข้ากับไปป์ไลน์ CI/CD ของโปรเจ็กต์ของคุณแล้ว
คุณสมบัติหลัก
การกำหนดค่าสามารถทำได้ตามที่แสดงด้านล่าง
ในกรณีที่ตรงตามเงื่อนไขข้างต้น บิลด์ Azure จะล้มเหลว และเราได้รับข้อความที่เหมาะสมในคอนโซล Azure ข้อความคอนโซลตัวอย่างมีดังต่อไปนี้
6. คุณสามารถลดเวลาในการสแกนได้โดยเลือกความสมดุลระหว่างความเร็วและความครอบคลุมของปัญหา การสแกนที่ปรับให้เหมาะสมละเว้นการทดสอบที่กำหนดไว้ในนโยบายการทดสอบสำหรับช่องโหว่ที่รุนแรงน้อยกว่าหรือมีแนวโน้มน้อยกว่าตามการวิเคราะห์ทางสถิติอย่างต่อเนื่อง อ่านเพิ่มเติมเกี่ยวกับการเพิ่มประสิทธิภาพการทดสอบที่นี่
7. ตัวเลือกในการดาวน์โหลดรายงานการสแกนในรูปแบบ JSON และ PDF สามารถสร้างรายงาน PDF ได้ก็ต่อเมื่อเลือก ID แอปพลิเคชัน (ฟิลด์ที่ไม่บังคับ) ระหว่างการกำหนดค่างานไปป์ไลน์จากบันทึกไปป์ไลน์หลังการดำเนินการสแกนสำเร็จ
8. ข้อมูลสรุปการสร้างจะแสดงจำนวนปัญหาตามความรุนแรงเมื่อการสแกนเสร็จสมบูรณ์
บูรณาการกับระบบติดตามข้อบกพร่องอื่น ๆ
หากเลือก ID แอปพลิเคชัน (ฟิลด์ตัวเลือก) ระหว่างการกำหนดค่างานไปป์ไลน์ ปัญหาด้านความปลอดภัยสามารถดูได้ภายใต้แอปพลิเคชันที่ระบุในอินเทอร์เฟซองค์กรของ AppScan.. บริการ AppScan Issue Management Gatewayเพื่อโยกย้ายปัญหาจาก AppScan Enterprise ไปยังแอปพลิเคชันการจัดการปัญหาเช่น จิรา คอนเสิร์ต Azure and Rational Team
Biew Apapornเป็นผู้พัฒนาและออกแบบแอพพิลเคชั่นด้วย IBM Domino Designer, Xpage, Javascript, Lotus Script, Bootstrap, CSS, HTML
Biew Apaporn
เป็นผู้พัฒนาและออกแบบแอพพิลเคชั่นด้วย IBM Domino Designer, Xpage, Javascript, Lotus Script, Bootstrap, CSS, HTML