โปรเจ็กต์เว็บแอปพลิเคชันทั้งหมดใช้สถาปัตยกรรมไคลเอ็นต์-เซิร์ฟเวอร์ โดยมีการพุชโค้ดไปยังที่เก็บออนไลน์เพื่อความสะดวกในการทำงานร่วมกัน วิธีการนี้ยังมีประโยชน์ในการเปิดใช้การรวมและการส่งมอบอย่างต่อเนื่อง (CI/CD) ของแอปและเซิร์ฟเวอร์ของเรา Azure DevOps เป็นแพลตฟอร์มหนึ่งที่นำเสนอแพ็คเกจที่สมบูรณ์ตั้งแต่การสร้างไปจนถึงการปรับใช้งานแอปพลิเคชันและการจัดการไปป์ไลน์ CI/CD ของเรา เคยคิดไหมว่าแอปพลิเคชันที่เพิ่งปรับใช้ใหม่ของเรามีความปลอดภัยเพียงใด และมีวิธีรวมการทดสอบความปลอดภัยเข้ากับไปป์ไลน์ CI/CD หรือไม่ คำตอบคือใช่ ให้เราสำรวจวิธีการทำสิ่งนี้ให้สำเร็จโดยใช้ส่วนขยาย HCL AppScan การติดตั้งและการกำหนดค่า สามารถดาวน์โหลดส่วนขยายได้ฟรีจากAzure DevOps Marketplace เมื่อติดตั้งส่วนขยายแล้ว จะต้องกำหนดค่าด้วยข้อมูลประจำตัว AppScan Enterprise (ASE) ด้วยKeyIDและใช้การเชื่อมต่อบริการใน Azure DevOps ป้อน URL เซิร์ฟเวอร์ ASE (รูปแบบของ URL เหมือนกับ https://<hostname>:<port>/ase) ระบุคีย์และข้อมูลลับ ไปที่ ลิงก์นี้เพื่อสร้างรหัสและรหัสลับใน ASE การกำหนดค่าท่อ สร้างไปป์ไลน์ใหม่และเพิ่มงานประเภท HCL AppScan Enterprise ดังที่แสดงด้านล่าง ป้อนรายละเอียดที่เกี่ยวข้องสำหรับงานที่เพิ่มในไปป์ไลน์ เราสามารถรับ ID โฟลเดอร์ ID เทมเพลต ID นโยบายการทดสอบ และ ID แอปพลิเคชันโดยใช้ASE REST API ฟิลด์ "URL เริ่มต้น" คือ URL ของแอปพลิเคชันที่จะสแกนความปลอดภัย ตัวอย่างเดียวกันมีดังแสดงด้านล่าง การใช้สคริปต์ YAML สคริปต์ yaml สามารถใช้สำหรับการกำหนดค่าการสแกนตามที่แสดงด้านล่าง ตัวอย่างแสดงอยู่ด้านล่าง ขั้นตอน: -task:HCLTechnologies.ApplicationSecurity-VSTS.custom-ase-task.HCLAppScan Enterprise@2 displayName: 'เรียกใช้ HCL AppScan Enterprise Security Test' อินพุต: ServiceEndPointAse: 'ASE_227' ชื่องาน: 'MyFirst_Azure_Scan' รหัสโฟลเดอร์: 4 templateId: 7 testPolicyId: 8 startURL: 'https://demo.testfire.net' วิธีการเข้าสู่ระบบ: ไม่มี การเพิ่มประสิทธิภาพ: เร็วที่สุด ระงับ: เท็จ หากมีการใช้สคริปต์ yaml สำหรับการปรับใช้ของคุณ คุณสามารถเพิ่มขั้นตอนข้างต้นได้ ถ้าไม่คุณสามารถเพิ่มงานตามที่กล่าวไว้ในรูปก่อนหน้า ส่วนขยาย HCL AppScan พร้อมที่จะรวมเข้ากับไปป์ไลน์ CI/CD ของโปรเจ็กต์ของคุณแล้ว คุณสมบัติหลัก

1. เราสามารถสแกนเว็บไซต์ที่เพิ่งปรับใช้ใหม่หรือไซต์อื่น ๆ ที่โฮสต์ในเครื่องหรือไซต์สาธารณะ แล้วเพิ่มงานด้านความปลอดภัยเพื่อให้มีการสแกนความปลอดภัย
2. งานสามารถสแกนกระแสเฉพาะของเว็บไซต์ (ที่ปรับใช้ใหม่หรือที่โฮสต์ในเครื่องหรือไซต์สาธารณะ) โดยใช้ตัวบันทึกกิจกรรม ยูทิลิตีขนาดเล็กนี้ช่วยให้คุณสามารถบันทึกการรับส่งข้อมูลและการดำเนินการจากเว็บไซต์ของคุณ และอัปโหลดการบันทึกเหล่านั้นไปยังเครื่องมือวิเคราะห์ AppScan Dynamic ที่คุณเลือก – HCL AppScan Enterpriseหรือ HCL AppScan Standard หรือ HCL AppScan On Cloud ไฟล์ที่บันทึกสามารถเก็บไว้ใน "Azure Repos Git", "GitHub", "GitHub Enterprise Server" หรือ "Bitbucket Cloud" และสามารถระบุเส้นทางของไฟล์ที่บันทึกไว้ในการกำหนดค่าไปป์ไลน์เพื่อใช้เหมือนกัน
3. เราสามารถเพิ่มงานประเภท HCL AppScan Enterprise ได้หลายงาน จึงสามารถสแกนไซต์จำนวนมากในไปป์ไลน์เดียว สรุปความปลอดภัยของปัญหาของแต่ละปัญหาจะแสดงพร้อมกับรายงานการทดสอบความปลอดภัย รายงานนี้มีปัญหาการสแกนพร้อมกับการแก้ไขสำหรับปัญหาที่รายงาน
4. รองรับการเปิดใช้งานและการกำหนดค่าการตั้งค่าและการแจ้งเตือนทางอีเมลก่อนที่จะเรียกใช้บิลด์
5. เราสามารถกำหนดค่าบิลด์ให้ล้มเหลวตามผลการรักษาความปลอดภัย ตัวอย่างเช่น เราอาจล้มเหลวในการสร้างหากจำนวนช่องโหว่ด้านความปลอดภัยสูงมากกว่า 5 รายการ

การกำหนดค่าสามารถทำได้ตามที่แสดงด้านล่าง ในกรณีที่ตรงตามเงื่อนไขข้างต้น บิลด์ Azure จะล้มเหลว และเราได้รับข้อความที่เหมาะสมในคอนโซล Azure ข้อความคอนโซลตัวอย่างมีดังต่อไปนี้ 6. คุณสามารถลดเวลาในการสแกนได้โดยเลือกความสมดุลระหว่างความเร็วและความครอบคลุมของปัญหา การสแกนที่ปรับให้เหมาะสมละเว้นการทดสอบที่กำหนดไว้ในนโยบายการทดสอบสำหรับช่องโหว่ที่รุนแรงน้อยกว่าหรือมีแนวโน้มน้อยกว่าตามการวิเคราะห์ทางสถิติอย่างต่อเนื่อง อ่านเพิ่มเติมเกี่ยวกับการเพิ่มประสิทธิภาพการทดสอบที่นี่ 7. ตัวเลือกในการดาวน์โหลดรายงานการสแกนในรูปแบบ JSON และ PDF สามารถสร้างรายงาน PDF ได้ก็ต่อเมื่อเลือก ID แอปพลิเคชัน (ฟิลด์ที่ไม่บังคับ) ระหว่างการกำหนดค่างานไปป์ไลน์จากบันทึกไปป์ไลน์หลังการดำเนินการสแกนสำเร็จ 8. ข้อมูลสรุปการสร้างจะแสดงจำนวนปัญหาตามความรุนแรงเมื่อการสแกนเสร็จสมบูรณ์ บูรณาการกับระบบติดตามข้อบกพร่องอื่น ๆ หากเลือก ID แอปพลิเคชัน (ฟิลด์ตัวเลือก) ระหว่างการกำหนดค่างานไปป์ไลน์ ปัญหาด้านความปลอดภัยสามารถดูได้ภายใต้แอปพลิเคชันที่ระบุในอินเทอร์เฟซองค์กรของ AppScan.. บริการ AppScan Issue Management Gatewayเพื่อโยกย้ายปัญหาจาก AppScan Enterprise ไปยังแอปพลิเคชันการจัดการปัญหาเช่น จิรา คอนเสิร์ต Azure and Rational Team

Biew
ยังไม่มีข้อมูลประวัติ