Vérification de la dépendance OWASP dans Jenkins
OWASP fournit un large éventail d'outils et de services publics pour les développeurs de logiciels et les chercheurs en sécurité afin d'améliorer la sécurité des applications Web.
Le vérificateur de dépendance OWASP est un outil qui vous permet de numériser et de détecter toutes les vulnérabilités divulguées publiquement qui pourraient être contenues dans les dépendances d'un projet donné. L'outil scanne le projet de vulnérabilités connues et génère un rapport basé sur les résultats.
Le rapport comprend un lien vers tous les CVE trouvés et les détails et la gravité de chaque vulnérabilité.
Dans ce tutoriel, nous apprendrons à utiliser le plugin de contrôle de dépendance OWASP dans Jenkins pour scanner un projet de vulnérabilités connues.
Étape 1: Installez le plugin de dépendance OWASP
Étape 1: Installez le plugin de dépendance OWASP
La première étape consiste à installer le plugin de dépendance OWASP sur notre serveur Jenkins. Connectez-vous dans votre tableau de bord Jenkins et accédez à "Gérer Jenkins".
Sélectionnez «Gérer les plugins» pour rechercher et installer le plugin de contrôle de dépendance OWASP.
Ensuite, sélectionnez «Plugins disponibles» et recherchez «Vérification de la dépendance OWASP».
Sélectionnez la dernière version (5.2.1 En écrivant) et cliquez sur «Télécharger maintenant et installer après le redémarrage."
Cela devrait installer le plugin de contrôle de dépendance OWASP, vous permettant de l'utiliser dans vos pipelines Jenkins.
Étape 2: Configurer le plugin de contrôle de dépendance OWASP
L'étape suivante consiste à configurer le plugin de contrôle de dépendance OWASP à Jenkins, nous permettant de l'utiliser dans nos travaux Jenkins.
Naviguez pour gérer Jenkins -> Configuration globale de l'outil.
Faites défiler vers le bas jusqu'à ce que vous trouviez la section «Vérification de la dépendance». Ensuite, cliquez sur la section d'installation de chèque de dépendance.
Cela vous permet de définir les installations de vérification de la dépendance sur le serveur Jenkins. Cliquez sur «Ajouter un contrôle de dépendance» pour configurer un nouveau vérificateur de dépendance.
Entrez le nom de l'installation de damier de dépendance. Notez ce nom car vous en aurez besoin dans vos versions ultérieures.
Sélectionnez «Installer automatiquement». Choisissez la version du plugin souhaitée et cliquez sur «Enregistrer» pour appliquer les modifications.
Étape 3: Utilisation du plugin de vérification de dépendance
Une fois que nous avons configuré l'installation du plugin, nous pouvons tester l'utilisation du plugin sur notre serveur Jenkins.
Pour cette démonstration, nous utilisons l'application Web DVWA qui est fournie dans le lien suivant:
https: // github.com / digininja / dvwa
Vous pouvez fourrer le référentiel sur votre compte GitHub, le cloner et l'héberger sur un serveur local.
Ouvrez le tableau de bord Jenkins et sélectionnez le tableau de bord «Open Blue Ocean» pour utiliser l'interface Blue Ocean.
Remarque: Cela vous oblige à installer le plugin Blue Ocean sur votre système.
Dans le tableau de bord Blue Ocean, sélectionnez «Nouveau pipeline» pour créer un nouveau pipeline Jenkins.
Sélectionnez l'emplacement où vous stockez votre code source. Si vous avez fourré le référentiel DVWA sur votre compte GitHub, sélectionnez GitHub.
Si vous avez cloné et hébergé le code source sur un serveur local, sélectionnez «Git» pour continuer.
Ensuite, spécifiez l'URL vers le référentiel DVWA. À des fins de démonstration, nous avons hébergé le référentiel DVWA sur un serveur GIT local. Par conséquent, nous fournissons le lien vers le référentiel comme indiqué dans ce qui suit:
Ensuite, spécifiez le nom d'utilisateur et le mot de passe à votre référentiel.
Cliquez sur «Créer un pipeline» pour passer à l'étape suivante. Cela crée un nouveau pipeline et vous permet de spécifier les instructions de construction.
Remarque: Étant donné que notre référentiel ne contient pas de JenkinsFile, Jenkins nous permet de définir le pipeline à l'avant.
Cliquez sur «Créer un pipeline» pour définir les instructions d'un Jenkinsfile.
Appuyez sur le bouton Ajouter pour ajouter une nouvelle étape. Ajouter le nom de la scène.
Cliquez sur «Ajouter une étape» pour ajouter une nouvelle étape à l'étape de construction.
Recherchez la dépendance et sélectionnez «Invoquez le contrôle de dépendance».
Dans la section suivante, définissez l'Odcinstallation sur le nom du plugin de dépendance que vous avez créé plus tôt dans l'outil de configuration globale. Dans notre cas, nous avons attribué le nom, «Owasp».
Dans la section des arguments supplémentaires, ajoutez les arguments comme suit:
--format html - format xml
Cela permet au plugin de damier de dépendance de publier les résultats dans les formats HTML et XML.
Cliquez sur la flèche arrière et sélectionnez «Ajouter une étape» pour ajouter une autre étape à l'étape de construction.
Rechercher la «dépendance» et sélectionner «Publier les résultats de vérification de dépendance».
Vous pouvez laisser les champs vides car ils sont facultatifs. Ensuite, cliquez sur la flèche précédente pour revenir à l'étape de construction.
Vous devriez maintenant voir que votre étape de construction a deux étapes:
Cliquez sur «Enregistrer» pour publier le Jenkinsfile au référentiel. Ajoutez les détails de la validation et sélectionnez la branche cible.
Enfin, cliquez sur «Enregistrer et exécuter» pour publier les modifications et démarrer le processus de construction.
Attendez que le processus de construction se termine et que le plugin de damier de dépendance scanne votre code et publie les résultats.
Développez l'étape «Publier la dépendance à la dépendance» pour afficher l'emplacement où les rapports sont enregistrés.
Vous pouvez ensuite ouvrir le rapport dans HTML ou XML pour afficher les résultats:
Conclusion
Vous avez appris à ajouter et à configurer le plugin de contrôle de dépendance OWASP à votre pipeline Jenkins. Vous avez également découvert comment utiliser le plugin dans votre pipeline Jenkins et publier les résultats dans des formats HTML ou XML.