Owasp avhengighetssjekk i Jenkins
OWASP gir et bredt spekter av verktøy og verktøy for programvareutviklere og sikkerhetsforskere for å forbedre sikkerheten til webapplikasjoner.
OWASP Dependency Checker er et verktøy som lar deg skanne og oppdage eventuelle offentlig avslørte sårbarheter som kan være inneholdt i et gitt prosjektavhengigheter. Verktøyet skanner prosjektet for kjente sårbarheter og genererer en rapport basert på funnene.
Rapporten inneholder en lenke til alle funnet CVES og detaljene og alvorlighetsgraden av hver sårbarhet.
I denne opplæringen lærer vi hvordan du bruker OWASP Dependency Check Plugin i Jenkins for å skanne et prosjekt for kjente sårbarheter.
Trinn 1: Installer OWASP -avhengighetsplugin
Trinn 1: Installer OWASP -avhengighetsplugin
Det første trinnet er å installere OWASP -avhengighetsplugin på vår Jenkins -server. Logg inn i Jenkins -dashbordet ditt og naviger til “Administrer Jenkins”.
Velg "Administrer plugins" for å søke og installere OWASP -avhengighetssjekk -plugin.
Deretter velger du “Tilgjengelige plugins” og søk etter “Owasp Dependency Check”.
Velg den nyeste versjonen (5.2.1 som å skrive) og klikk “Last ned nå og installer etter omstart.”
Dette skal installere OWASP -avhengighetssjekk -plugin, slik at du kan bruke den i Jenkins -rørledningene dine.
Trinn 2: Konfigurer OWASP -avhengighetssjekk -plugin
Neste trinn er å konfigurere OWASP Dependency Check Plugin i Jenkins, slik at vi kan bruke den i Jenkins -jobbene våre.
Naviger for å administrere Jenkins -> Global verktøykonfigurasjon.
Bla ned til du finner delen "Dependency Check". Deretter klikker du på delen av avhengighetssjekkinstallasjon.
Dette lar deg definere Dependency-Check-installasjonene på Jenkins-serveren. Klikk på "Legg til avhengighetssjekk" for å konfigurere en ny avhengighetskontroll.
Skriv inn navnet på Installation Installation. Legg merke til dette navnet siden du vil kreve det i dine senere bygg.
Velg "Installer automatisk". Velg ønsket plugin -versjon og klikk "Lagre" for å bruke endringene.
Trinn 3: Bruke avhengighetssjekk -plugin
Når vi konfigurerte plugin -installasjonen, kan vi teste plugin -bruken på Jenkins -serveren vår.
For denne demonstrasjonen bruker vi DVWA -webapplikasjonen som er gitt i følgende lenke:
https: // github.com/digininja/dvwa
Du kan gaffel depotet til GitHub -kontoen din, klone den og være vertskap for den på en lokal server.
Åpne Jenkins -dashbordet og velg dashbordet “Open Blue Ocean” for å bruke Blue Ocean Interface.
Merk: Dette krever at du installerer Blue Ocean Plugin på systemet ditt.
I Blue Ocean Dashboard velger du "New Pipeline" for å lage en ny Jenkins -rørledning.
Velg stedet der du lagrer kildekoden. Hvis du gafflet DVWA -depotet til GitHub -kontoen din, velger du GitHub.
Hvis du klonet og var vertskap for kildekoden på en lokal server, velger du "git" for å fortsette.
Deretter spesifiser nettadressen til DVWA -depotet. For demonstrasjonsformål var vi vertskap for DVWA -depotet på en lokal Git -server. Derfor gir vi lenken til depotet som vist i følgende:
Neste, spesifiser brukernavnet og passordet til depotet ditt.
Klikk "Opprett rørledning" for å gå videre til neste trinn. Dette oppretter en ny rørledning og lar deg spesifisere byggeinstruksjonene.
Merk: Siden vårt depot ikke inneholder en Jenkinsfile, lar Jenkins oss definere rørledningen i frontenden.
Klikk på "Opprett rørledning" for å definere instruksjonene for en Jenkinsfile.
Trykk på Legg til -knappen for å legge til et nytt trinn. Legg til scenenavnet.
Klikk på "Legg til trinn" for å legge til et nytt trinn i byggetrinnet.
Søk etter avhengighet og velg “Invoke Dependency Check”.
I neste avsnitt, sett ODCinstallation til navnet på avhengighetsplugin som du opprettet tidligere i det globale konfigurasjonsverktøyet. I vårt tilfelle tildelte vi navnet "Owasp".
I seksjonen for tilleggsargumenter, legg til argumentene som følger:
--Format html -format xml
Dette gjør at avhengighetskontrollen plugin kan publisere resultatene i HTML- og XML -formater.
Klikk på bakpilen og velg "Legg til trinn" for å legge til et nytt trinn i byggetrinnet.
Søk etter "avhengighet" og velg "publiser avhengighetssjekkresultater".
Du kan la feltene være tomme siden de er valgfrie. Klikk deretter på forrige pil for å gå tilbake til byggetrinnet.
Du skal nå se at byggetrinnet ditt har to trinn:
Klikk på “Lagre” for å publisere Jenkinsfile til depotet. Legg til detaljene i forpliktelsen og velg målgrenen.
Til slutt klikker du på "Lagre og kjør" for å publisere endringene og starte byggeprosessen.
Vent til byggeprosessen skal fullføres og for at avhengighetskontrollen plugin skal skanne koden og publisere resultatene.
Utvid trinnet "Publiser avhengighetssjekkingsresultat" for å se stedet der rapportene er lagret.
Du kan deretter åpne rapporten enten i HTML eller XML for å se resultatene:
Konklusjon
Du lærte hvordan du legger til og konfigurerer OWASP -avhengighetssjekk -plugin til Jenkins -rørledningen din. Du oppdaget også hvordan du bruker plugin -en i Jenkins -rørledningen og publiserer resultatene i HTML- eller XML -formater.