Verificación de dependencia de OWASP en Jenkins
OWASP proporciona una amplia gama de herramientas y utilidades para que los desarrolladores de software e investigadores de seguridad mejoren la seguridad de las aplicaciones web.
El comprobante de dependencia OWASP es una herramienta que le permite escanear y detectar cualquier vulnerabilidad divulgada públicamente que pueda estar contenida dentro de las dependencias de un proyecto determinado. La herramienta escanea el proyecto para vulnerabilidades conocidas y genera un informe basado en los hallazgos.
El informe incluye un enlace a todos los CVE encontrados y los detalles y la gravedad de cada vulnerabilidad.
En este tutorial, aprenderemos cómo usar el complemento de verificación de dependencia de OWASP en Jenkins para escanear un proyecto de vulnerabilidades conocidas.
Paso 1: Instale el complemento de dependencia OWASP
Paso 1: Instale el complemento de dependencia OWASP
El primer paso es instalar el complemento de dependencia OWASP en nuestro servidor Jenkins. Inicie sesión en su tablero de Jenkins y navegue a "Administrar Jenkins".
Seleccione "Administrar complementos" para buscar e instalar el complemento de verificación de dependencia OWASP.
A continuación, seleccione "complementos disponibles" y busque "Verificación de dependencia de OWASP".
Seleccione la última versión (5.2.1 A partir de la escritura) y haga clic en “Descargar ahora e instalar después de reiniciar."
Esto debería instalar el complemento de verificación de dependencia OWASP, lo que le permite usarlo en sus tuberías de Jenkins.
Paso 2: Configure el complemento de verificación de dependencia de OWASP
El siguiente paso es configurar el complemento de verificación de dependencia OWASP en Jenkins, lo que nos permite usarlo en nuestros trabajos de Jenkins.
Navegue para administrar Jenkins -> Configuración de herramientas globales.
Desplácese hacia abajo hasta que localice la sección "Verificación de dependencia". A continuación, haga clic en la sección de instalación de verificación de dependencia.
Esto le permite definir las instalaciones de comprobación de dependencia en el servidor Jenkins. Haga clic en "Agregar verificación de dependencia" para configurar un nuevo verificador de dependencia.
Ingrese el nombre de la instalación del verificador de dependencia. Tenga en cuenta este nombre, ya que lo requerirá en sus compilaciones posteriores.
Seleccione "Instalar automáticamente". Elija su versión de complemento deseada y haga clic en "Guardar" para aplicar los cambios.
Paso 3: Uso del complemento de verificación de dependencia
Una vez que configuramos la instalación del complemento, podemos probar el uso del complemento en nuestro servidor Jenkins.
Para esta demostración, utilizamos la aplicación web DVWA que se proporciona en el siguiente enlace:
https: // github.com/digininja/dvwa
Puede desembolsar el repositorio en su cuenta de GitHub, clonarla y alojarlo en un servidor local.
Abra el tablero de Jenkins y seleccione el tablero "Open Blue Ocean" para usar la interfaz del océano azul.
Nota: Esto requiere que instale el complemento Blue Ocean en su sistema.
En el tablero de Ocean Blue, seleccione "NUEVA PIELLEING" para crear una nueva tubería de Jenkins.
Seleccione la ubicación donde almacena su código fuente. Si bifurcó el repositorio de DVWA a su cuenta de Github, seleccione GitHub.
Si clonó y alojó el código fuente en un servidor local, seleccione "GIT" para continuar.
A continuación, especifique la URL al repositorio de DVWA. Para fines de demostración, alojamos el repositorio de DVWA en un servidor Git local. Por lo tanto, proporcionamos el enlace al repositorio como se muestra en el siguiente:
A continuación, especifique el nombre de usuario y la contraseña a su repositorio.
Haga clic en "Crear tubería" para proceder al siguiente paso. Esto crea una nueva tubería y le permite especificar las instrucciones de compilación.
Nota: Dado que nuestro repositorio no contiene un Jenkinsfile, Jenkins nos permite definir la tubería en el extremo frontal.
Haga clic en "Crear Pipeline" para definir las instrucciones de un Jenkinsfile.
Presione el botón Agregar para agregar una nueva etapa. Agregar el nombre artístico.
Haga clic en "Agregar paso" para agregar un nuevo paso a la etapa de compilación.
Busque dependencia y seleccione "Invocar la verificación de dependencia".
En la siguiente sección, establezca la ODCInstallation en el nombre del complemento de dependencia que creó anteriormente en la herramienta de configuración global. En nuestro caso, asignamos el nombre, "Owasp".
En la sección de argumentos adicionales, agregue los argumentos de la siguiente manera:
--Formato HTML -Format XML
Esto permite que el complemento del verificador de dependencia publique los resultados en formatos HTML y XML.
Haga clic en la flecha posterior y seleccione "Agregar paso" para agregar otro paso a la etapa de compilación.
Busque "dependencia" y seleccione "Publicar resultados de verificación de dependencia".
Puedes dejar los campos vacíos ya que son opcionales. Luego, haga clic en la flecha anterior para volver al paso de compilación.
Ahora debería ver que su etapa de construcción tiene dos pasos:
Haga clic en "Guardar" para publicar el jenkinsfile en el repositorio. Agregue los detalles de la confirmación y seleccione la rama de destino.
Finalmente, haga clic en "Guardar y ejecutar" para publicar los cambios e iniciar el proceso de compilación.
Espere a que se complete el proceso de compilación y para que el complemento del verificador de dependencia escanee su código y publique los resultados.
Expanda el paso "Publicar el resultado de comprobación de dependencia" para ver la ubicación donde se guardan los informes.
Luego puede abrir el informe en HTML o XML para ver los resultados:
Conclusión
Aprendió a agregar y configurar el complemento de verificación de dependencia de OWASP en su tubería Jenkins. También descubrió cómo usar el complemento en su tubería Jenkins y publicar los resultados en formatos HTML o XML.