Ajout de l'analyse de sécurité à votre serveur d'automatisation Jenkins
Le plug-in Jenkins HCLAppScan vous permet d'ajouter une prise en charge des examens de sécurité à vos projets Jenkins. Le plug-in vous permet de vous connecter à HCL AppScan on Cloud sur HCL AppScan on Cloud.
Sélectionnez Gérer Jenkins, puis Gérer les plug-ins.
Sélectionnez l'onglet Disponible et cochez la case en regard de HCLAppScan.
Cliquez sur l'un des boutons d'installation en bas de la page. Après l'installation du plug-in HCLAppScan, vous devez redémarrer Jenkins avant de pouvoir l'utiliser. Cependant, vous pouvez l'installer, puis redémarrer Jenkins plus tard (par exemple si vous avez des travaux en cours).
Remarque : Il se peut que cette procédure varie légèrement en fonction de la version de Jenkins que vous utilisez.
Après avoir redémarré Jenkins, ajoutez des droits d'accès afin de pouvoir connecter votre projet créé à AppScan sur Cloud :
Dans le tableau de bord de Jenkins, sélectionnez Droits d'accès.
Ajoutez de nouveaux droits d'accès globaux sur la page Droits d'accès. Pour ce faire, sélectionnez l'icône en forme de flèche à côté du lien (global), puis sélectionnez Ajouter des droits d'accès.
Dans la page des droits d'accès HCL AppScan on Cloud, sélectionnez Droits d'accès dans la liste Type.
Spécifiez une URL de serveur AppScan sur Cloud pour la connexion. Par défaut, il s'agit de l'URL https://cloud.appscan.com.
Lorsque vous générez une clé d'API dans le service AppScan sur Cloud, vous recevez un ID de clé et un mot de passe de clé. Entrez ces valeurs dans les champs ID et Mot de passe. Si vous n'avez pas encore généré de clé d'API, suivez le lien pour en créer une.
Facultatif : Utilisez le champ Libellé pour ajouter un identificateur aux droits d'accès.
Dans le tableau de bord de Jenkins, sélectionnez votre projet Jenkins à modifier, puis cliquez sur Configurer. Suivez cette procédure dans l'onglet Général du projet :
Dans la section Génération, sélectionnez l'icône en forme de flèche en regard de l'action d'ajout d'une étape de génération. Le libellé pour cette action va varier en fonction du type de projet. Vous trouverez à titre d'exemple Ajouter une étape de génération et Ajouter une étape post-génération.
Sélectionnez Exécuter le test de sécurité AppScan on Cloud/AppScan 360°.
Dans la liste Droits d'accès, sélectionnez les droits d'accès que vous avez ajoutés lors de l'étape précédente. Si vous ajoutez un identificateur de libellé pour les droits d'accès, il va s'afficher dans la liste. Si vous n'avez pas ajouté de libellé, votre ID de clé et votre mot de passe de clé masqué s'afficheront.
Les examens de sécurité doivent être associés à une application AppScan sur Cloud existante. Sélectionnez l'application dans la liste Application.
Remarque : La liste Application est remplie en fonction de vos droits d'accès. L'application doit déjà exister dans le service AppScan sur Cloud. La liste sera vide si aucune application n'a été créée dans le service.
Facultatif : Dans le champ Nom du test, entrez un nom pour l'examen. Si vous remplissez ce champ, l'examen portera ce nom (avec un horodatage ajouté) dans le service AppScan sur Cloud. En outre, ce nom servira à différencier des résultats dans différentes vues de Jenkins.
Dans la section Type de test :
Sélectionnez Analyse dynamique (DAST) pour effectuer l'analyse d'une application qui s'exécute dans un navigateur. Si ce type de test est sélectionné, utilisez le champ URL de départ requis pour saisir l'URL depuis laquelle vous souhaitez que l'examen commence à explorer le site. Si vous cochez la case Options supplémentaires, ces paramètres supplémentaires sont également disponibles :
Type d'examen : Sélectionnez si votre site est un site de Transfert (en cours de développement) ou un site de Production (opérationnel et utilisé).
Optimisation : Indiquez si vous souhaitez effectuer un examen sans optimisation (examen détaillé régulier avec une durée d'examen plus longue et une couverture maximale des vulnérabilités, par défaut), rapide (jusqu'à deux fois plus rapide, couverture de 97 % des vulnérabilités), plus rapide (jusqu'à cinq fois plus rapide, couverture de 85 % des vulnérabilités) ou le plus rapide (jusqu'à dix fois plus rapide, couverture de 70 % des vulnérabilités).
ID Presence : Si votre application n'est pas sur Internet, saisissez votre ID Presence AppScan. Les informations concernant la création d'une instance AppScan Presence sont disponibles ici.
Examiner le fichier : Si vous disposez d'un fichier d'examen AppScan Standard, saisissez son nom de fichier et son chemin d'accès complets dans ce champ. Pour en savoir plus sur les fichiers d'examen AppScan Standard, consultez cette rubrique.
Connexion à l'application : spécifiez les informations de connexion qui permettront à AppScan sur Cloud d'examiner les pages nécessitant une authentification :
Sélectionnez Connexion non requise si une authentification supplémentaire n'est pas nécessaire.
Sélectionnez Connexion requise : Nom d'utilisateur et mot de passe pour fournir des données d'identification utilisateur valides pour la page :
Utilisateur de connexion : Un nom d'utilisateur valide.
Mot de passe de connexion : Un mot de passe admis.
Données d'identification supplémentaires : Une troisième donnée d'identification de connexion, si exigée par le site.
Sélectionnez Connexion requise : Connexion enregistrée pour fournir une séquence de connexion enregistrée pour la page. Détaillez le chemin du fichier de données de séquence de connexion dans Fichier de séquence de connexion. AppScan prend en charge le type de fichier dast.config pour ces fichiers.
Pour en savoir plus sur ces paramètres, voir cette rubrique. L'analyse dynamique (DAST) n'est disponible que dans AppScan sur Cloud.
Sélectionnez Analyse de la composition du logiciel (SCA) pour examiner les bibliothèques Open Source. Si ce type de test est sélectionné, utilisez le champ Répertoire cible requis pour entrer le chemin d'accès complet au répertoire qui contient les fichiers ou un fichier IRX que vous souhaitez examiner.
Remarque :AppScan on Cloud effectue désormais les analyses statiques (SAST) et les analyses Open Source (SCA) sous forme d'examens séparés. Pour exécuter un examen Open Source uniquement, utilisez le type d'examen Analyse de la composition du logiciel (SCA). L'option Open Source uniquement sera supprimée des examens SAST dans une version ultérieure.
Sélectionnez Analyse statique (SAST) pour exécuter le test de sécurité de l'analyse statique sur vos artefacts de génération. Si ce type de test est sélectionné, utilisez le champ Répertoire cible requis pour entrer le chemin d'accès complet au répertoire qui contient les fichiers que vous souhaitez examiner. Pour les types de fichiers pris en charge, voir Prise en charge des langages de l'analyse statique.
Méthode d'examen :
Générer des fichiers IRX : Générez une archive IRX localement à partir des fichiers et dossiers spécifiés. Si vous cochez la case Options supplémentaires, ces paramètres supplémentaires sont également disponibles :
Open Source uniquement : sélectionnez si votre application contient des packages Open Source. Pour plus d'informations sur les tests Open Source, voir À propos de l'analyse de la composition du logiciel (SCA). L'analyse de la composition du logiciel (SCA) est disponible uniquement dans AppScan sur Cloud.
Remarque :AppScan on Cloud effectue désormais les analyses statiques (SAST) et les analyses Open Source (SCA) sous forme d'examens séparés. Pour exécuter un examen Open Source uniquement, utilisez le type d'examen Analyse de la composition du logiciel (SCA). L'option Open Source uniquement sera supprimée des examens SAST dans une version ultérieure.
Code source uniquement : Indiquez si vous souhaitez analyser uniquement le code source.
Vitesse de l'examen : Optimisez la vitesse d'examen et les résultats en fonction de l'étape de développement. Choisissez des examens plus rapides au début du cycle de développement pour identifier les problèmes de sécurité de base ; choisissez des examens approfondis plus tard dans le cycle pour garantir une couverture complète de votre application.
Normal : Effectue un examen complet du code, en identifiant les vulnérabilités en détail et en différenciant les problèmes qui pourraient être signalés comme des faux positifs. Cet examen prend le plus de temps.
Rapide : Effectue un examen complet de vos fichiers pour identifier les vulnérabilités, prenant plus de temps à terminer que les examens « plus rapides » ou « le plus rapide ».
Plus rapide : Fournit un niveau moyen de détail de l'examen et de l'identification des problèmes de sécurité. Cet examen prend plus de temps à terminer que l'option « le plus rapide ».
Le plus rapide : Effectue un examen de surface de vos fichiers pour identifier les problèmes les plus urgents à résoudre, en prenant le moins de temps possible.
Chargement de fichiers et de dossiers : Téléchargez des fichiers et des dossiers directement sur AppScan pour une préparation immédiate du balayage et un traitement plus rapide.
Facultatif : Notification par courrier électronique : cochez cette case si vous souhaitez recevoir un courrier électronique au terme de l'analyse.
Facultatif : Autoriser l'intervention par l'équipe d'activation d'examens : Lorsque cette option est sélectionnée, notre équipe d'activation d'examens intervient en cas d'échec de l'examen ou si aucun problème n'est détecté, puis tente de corriger la configuration. Cela peut retarder le résultat de l'examen. Cette option est sélectionnée par défaut.
Facultatif : Suspendre le travail jusqu'à la fin de l'analyse de sécurité : cochez cette case si vous souhaitez que la génération Jenkins attende la disponibilité des résultats de l'analyse de sécurité avant de passer à l'étape suivante du projet.
Facultatif : Cochez la case Echec de la génération si pour activer les critères d'échec. Ensuite, ajoutez au moins une condition d'échec de la génération. Pour ce faire, sélectionnez Ajouter une condition puis renseignez ses critères. Vous pouvez mettre la génération en échec si :
le nombre total de problèmes de sécurité est supérieur au nombre que vous indiquez dans le champ ;
le nombre total de problèmes de sécurité à gravité critique est supérieur au nombre que vous indiquez dans le champ ;
le nombre total de problèmes de sécurité à sévérité élevée est supérieur au nombre que vous indiquez dans le champ ;
le nombre total de problèmes de sécurité à sévérité moyenne est supérieur au nombre que vous indiquez dans le champ ;
le nombre total de problèmes de sécurité à sévérité faible est supérieur au nombre que vous indiquez dans le champ ;
Remarque :
Si plusieurs conditions sont ajoutées, elles seront traitées comme si elles étaient séparées par un opérateur OR.
Si la case Echec de la génération si est cochée, l'option Suspendre le travail jusqu'à la fin de l'analyse de sécurité va être automatiquement sélectionnée et requise.
Si la case Echec de la génération si n'est pas cochée, toutes les conditions que vous avez ajoutées vont persister, mais ne seront pas en vigueur. Les conditions sont supprimées à condition que vous le fassiez manuellement.
Cliquez sur Sauvegarder pour ajouter l'étape de génération et arrêter la configuration de votre projet Jenkins. Cliquez sur Appliquer pour ajouter l'étape de génération et poursuivre la configuration du projet.
Après avoir ajouté une étape de génération, vous pouvez ajouter plusieurs étapes de génération Exécuter le test de sécurité à votre projet.
Après avoir exécuté votre projet Jenkins, si vous ouvrez votre génération, vous pouvez consulter une capture d'écran des résultats de sécurité. De plus, les liens Résultats relatifs aux tests de sécurité seront à votre disposition. Cliquez dessus pour ouvrir un rapport de sécurité non conforme. Dans la page de statut principale du projet, vous verrez un graphique des tendances des résultats de l'analyse de sécurité lorsque vous avez plusieurs groupes de résultats.