Verificação de dependência de Owasp em Jenkins

OWASP (Open Web Application Security Project) é uma organização sem fins lucrativos que trabalha para melhorar a segurança do software. É uma organização orientada à comunidade que visa promover e melhorar a segurança de aplicativos da Web, fornecendo vários recursos, incluindo documentação, ferramentas e diretrizes para desenvolvedores e profissionais de segurança.

OWASP fornece uma ampla gama de ferramentas e utilitários para desenvolvedores de software e pesquisadores de segurança para melhorar a segurança dos aplicativos da Web.

O verificador de dependência OWASP é uma ferramenta que permite digitalizar e detectar qualquer vulnerabilidade publicamente divulgada que possa estar contida nas dependências de um determinado projeto. A ferramenta digitaliza o projeto em busca de vulnerabilidades conhecidas e gera um relatório com base nas descobertas.

O relatório inclui um link para todos os CVEs encontrados e os detalhes e gravidade de cada vulnerabilidade.

Neste tutorial, aprenderemos a usar o plugin de verificação de dependência OWASP em Jenkins para digitalizar um projeto para vulnerabilidades conhecidas.

Etapa 1: Instale o plugin de dependência OWASP

Etapa 1: Instale o plugin de dependência OWASP
A primeira etapa é instalar o plug -in de dependência OWASP em nosso servidor Jenkins. Faça login no seu painel Jenkins e navegue para "gerenciar Jenkins".

Selecione “Gerenciar plugins” para pesquisar e instalar o plugin de verificação de dependência OWASP.

Em seguida, selecione “Plugins disponíveis” e pesquise “verificação de dependência OWASP”.

Selecione a versão mais recente (5.2.1 AS PRODUÇÃO) e clique em “Baixe agora e instale após reiniciar.”

Isso deve instalar o plugin de verificação de dependência OWASP, permitindo que você o use em seus pipelines Jenkins.

Etapa 2: Configure o plugin de verificação de dependência OWASP

A próxima etapa é configurar o plugin de verificação de dependência OWASP em Jenkins, permitindo -nos usá -lo em nossos Jenkins Jobs.

Navegue para gerenciar Jenkins -> Configuração da ferramenta global.

Role para baixo até localizar a seção "Verificação de dependência". Em seguida, clique na seção de instalação de verificação de dependência.

Isso permite definir as instalações de verificação de dependência no servidor Jenkins. Clique em "Adicionar verificação de dependência" para configurar um novo verificador de dependência.

Digite o nome da instalação do verificador de dependência. Observe este nome, pois você precisará de suas construções posteriores.

Selecione “Instalar automaticamente”. Escolha a versão desejada do plug -in e clique em "Salvar" para aplicar as alterações.

Etapa 3: Usando o plugin de verificação de dependência

Depois de configurarmos a instalação do plug -in, podemos testar o uso do plug -in em nosso servidor Jenkins.

Para esta demonstração, usamos o aplicativo da Web DVWA fornecido no link a seguir:

https: // github.com/digininja/dvwa

Você pode gastar o repositório para sua conta do GitHub, cloná -lo e hospedá -lo em um servidor local.

Abra o painel Jenkins e selecione o painel “Open Blue Ocean” para usar a interface do Oceano Azul.

NOTA: Isso exige que você instale o plug -in Blue Ocean em seu sistema.

No painel do Blue Ocean, selecione "Novo oleoduto" para criar um novo pipeline Jenkins.

Selecione o local onde você armazena seu código -fonte. Se você bifurou o repositório DVWA para sua conta do GitHub, selecione GitHub.

Se você clonou e hospedou o código -fonte em um servidor local, selecione "git" para prosseguir.

Em seguida, especifique o URL para o repositório DVWA. Para fins de demonstração, hospedamos o repositório DVWA em um servidor Git local. Portanto, fornecemos o link para o repositório, como mostrado no seguinte:

Em seguida, especifique o nome de usuário e a senha para o seu repositório.

Clique em "Criar pipeline" para prosseguir para a próxima etapa. Isso cria um novo pipeline e permite que você especifique as instruções de construção.

Nota: Como nosso repositório não contém um Jenkinsfile, Jenkins nos permite definir o oleoduto no front -end.

Clique em "Criar pipeline" para definir as instruções para um Jenkinsfile.

Pressione o botão Adicionar para adicionar um novo estágio. Adicione o nome de artista.

Clique em "Adicionar etapa" para adicionar uma nova etapa ao estágio de construção.

Pesquise dependência e selecione “Invoque a verificação de dependência”.

Na próxima seção, defina o odcinstalation como o nome do plugin de dependência que você criou anteriormente na ferramenta de configuração global. No nosso caso, atribuímos o nome "Owasp".

Na seção de argumentos adicionais, adicione os argumentos da seguinte forma:

--formato html -formato xml

Isso permite que o plug -in de verificador de dependência publique os resultados em formatos HTML e XML.

Clique na seta traseira e selecione "Adicionar etapa" para adicionar outra etapa ao estágio de construção.

Pesquise "dependência" e selecione "Publicar resultados de verificação de dependência".

Você pode deixar os campos vazios, pois eles são opcionais. Em seguida, clique na seta anterior para voltar à etapa de construção.

Agora você deve ver que seu estágio de construção tem duas etapas:

Clique em "Salvar" para publicar o Jenkinsfile no repositório. Adicione os detalhes da confirmação e selecione o ramo de destino.

Por fim, clique em "Salvar e executar" para publicar as alterações e iniciar o processo de construção.

Aguarde a conclusão do processo de construção e do plug -in de verificador de dependência para digitalizar seu código e publique os resultados.

Expanda a etapa de “resultado da verificação de dependência de dependência” para visualizar o local onde os relatórios são salvos.

Você pode abrir o relatório em HTML ou XML para visualizar os resultados:

Conclusão

Você aprendeu a adicionar e configurar o plugin de verificação de dependência OWASP ao seu pipeline Jenkins. Você também descobriu como usar o plug -in em seu pipeline Jenkins e publicar os resultados em formatos HTML ou XML.