使用JFrog和NeuraLegion在DevSecOps中实现DAST自动化
NeuraLegion的副总裁Oliver Moradov将带我们了解如何使用JFrog和NeuraLegion在管道中自动化AppSec测试。
长发布周期的日子已经过去了——在我们的敏捷开发世界里,这是不可行的,因为开发人员正在以前所未有的规模和速度交付软件和更多的功能。
使用DevOps,我们有多个开发团队运行多个并发构建,这很好,但是安全测试没有跟上。以左移安全来实现DevSecOps在美国,您需要一个DAST(动态应用程序安全测试)工具来跟上这个步伐。
传统的DAST工具速度慢、不准确,而且不是为现代应用程序构建的,这使得开发人员很难使用、理解和信任它们的输出。这导致了对缓慢、昂贵的人工安全测试的依赖,无论是由内部团队还是外部团队进行,并造成了发布瓶颈。
您要么必须等待手动安全检查和验证完成(永远不会发生),要么接受风险并进行部署。这将导致生产中的重大漏洞,因为问题仅在事件发生几个月后才得到补救软件分发完成后(如果有的话),您就会以难以克服的技术和安全债务告终。
继续阅读,了解如何通过使用NeuraLegion自动运行DAST作为JFrog pipeline的一部分来提高应用程序的安全性。我们将解释NeuraLegion的NexPloit是如何补充JFrog x射线的JFrog DevOps平台通用软件组合分析(SCA)方案用于识别开放源码漏洞和许可证遵从性违规。
我们也邀请你观看“让Sec参与开发ops,”JFrog和NeuraLegion最近的联合网络研讨会。NeuraLegion首席技术官Bar Hofesh和JFrog开发者倡导者Sven Ruppert深入研究了AppSec测试自动化,以及我们公司的联合解决方案。
自动安全测试是使用NeuraLegion的JFrog管道的一部分
NeuraLegion的NexPloit是一款创新的、人工智能驱动的、以开发人员为中心的DAST扫描仪,消除了传统DAST工具的痛点和限制。它为您提供AppSec测试自动化DevOps和CI/CD管道,这样你就可以测试你的web应用程序和api。
主要特点包括:
- 无缝集成到您的管道中(如JFrog)
- 开发人员友好,使用专有的智能扫描来删除复杂的测试设置和配置,以便您可以针对目标执行正确的测试
- 测试每个构建/提交,确保扫描可以以DevOps的速度完成,同时有效地识别安全漏洞
- 以自动的方式删除误报,以避免因为让开发人员(和安全团队)浪费时间筛选误报而延误(和惹恼)他们
- 清晰有效的补救准则
NeuraLegion与JFrog管线的集成意味着你可以在每次提交时自动进行安全测试,这是你部署管线的一部分。准备工作是轻而易举的事。查看下面的示例,开始在每个构建中获得安全遵从性!
集成配置JFrog和NexPloit
对于这个例子,我们将在GitHub存储库中使用一个易受攻击的应用程序,并设置一个JFrog管道。我们将使用NeuraLegion的DAST扫描仪NexPloit对目标运行初始安全扫描,其中JFrog将根据我们的设置破坏构建。在再次提交之后,JFrog将自动扫描新构建上的安全问题。
你需要建立一个免费的NexPloit。应用程序帐户运行安全测试。您还需要JFrog管道。你可以用JFrog免费云订阅该软件还包括JFrog Artifactory和JFrog Xray。
的本例的代码存储库包含一个公开的易受攻击的示例应用程序的存储库和相应的JFrog管道YAML文件。可以随意使用这个目标作为测试项目。
这个YAML文件包含安全扫描的配置和管道本身(称为nexploit),以及回购和执行步骤的详细信息。
我们可以将Git存储库视为JFrog资源,并且可以将此存储库用于任何事件,例如推送新提交,作为运行安全扫描的触发器。
执行步骤如下:
- 设置环境(NodeJS)
- 安装NexPloit CLI实用程序-使用NexPloit API,使您能够运行,轮询状态和停止扫描
然后我们有详细的扫描设置,详细说明:
- 将在目标上使用爬行器来探测攻击面
- NEXPLOIT_TOKEN—使用Nexploit API所需的令牌(请参阅下面如何获取)
- 扫描的长度
- 断点——在这种情况下,构建在检测到高度严重漏洞时失败
首先,让我们在JFrog Pipelines中设置一个自动扫描。
进入“节点池”>添加节点池并配置。
下一步:我们需要添加我们的集成。如果你还没有,我们的GitHub和Nexploit。需要添加应用程序集成。
集成GitHub与JFrog平台
让我们获得GitHub令牌。
在GitHub中,进入“设置”>开发人员设置>个人访问令牌>生成新令牌
复制这个令牌,并在JFrog平台到集成>添加一个集成
现在给集成一个Name、Type并添加Token
整合NeuraLegion的exploploit。应用程序与JFrog平台
我们对“泛型集成”类型遵循相同的过程。您需要通过您的nexploit.app帐户。
在nexploit。>创建新的API密钥>选择所有>创建并复制令牌。这可以在JFrog平台中使用来设置集成:
现在让我们转到管道源>从YAML添加管道源>
在选择“创建源”之前,选择您的GitHub集成SCM提供商集成,存储库名称与JFrog配置和分支。
现在可以构建并运行一个新的扫描了!
执行:Pipelines > nexploit > nexploit >触发此步骤
然后,您将获得当前CI流程的视图。
在上图中,我们可以看到DAST安全扫描已经开始,我们正在轮询结果。
我们现在可以通过NexPloit上的NexPloit仪表板查看安全扫描状态和结果。App查看状态,使用提供的链接。
我们可以看到,扫描器已经在目标上检测到许多自动验证的安全问题,这些问题可以在不需要任何手动验证的情况下进行修复。
结果为开发人员提供了所有他们需要了解的问题,如何复制它,更重要的是,如何修复它,以及补救指南:
提供了带有不同视图(添加/删除了什么)的Request,以及Response, Headers和Body。
在这个特殊的例子中跨站脚本(XSS)问题,我们还以屏幕截图的形式提供了额外的证据作为概念的证明,所以你知道漏洞就在那里:
Nexploit与JIRA集成因此,可以在检测到每个问题时自动发出罚单,或者您可以使用JIRA和JFrog管线集成.
在检测到高严重性问题时,构建失败并停止扫描。
扫描器被设置为每次在存储库中提交变更时自动扫描,使开发人员能够在每次提交时运行自动、全面和非常准确的安全扫描。
以DevOps的速度进行安全测试
如你所见,连接NeuraLegion的DASTAppSec扫描到你的JFrog管道是简单而直接的。您还可以继续使用其他CI集成,例如Jenkins (viaNeuraLegion或JFrog),以及票务系统JIRA.
无论是测试web应用程序还是api (SOAP、REST、GraphQL),生成的结果都以开发人员友好的方式组织,因此您可以了解漏洞以及补救和修复它们所需的一切,并具有完全验证的结果,没有误报。
使用JFrog和NeuraLegion,您现在可以在几分钟内创建端到端部署管道,并将安全测试作为一个不可分割的部分,而不会减慢您的速度,不会引起太多的噪音,并导致安全的产品部署与一个简化的DevSecOps流程。hth华体会最新官方网站
观看网络研讨会,在那里我们看了JFrog管线和JFrog x射线,并提供了NeuraLegion平台的演示,所以你可以开始向左转移安全测试。
如果你想今天就开始,你可以用一个工具将NeuraLegion集成到你的JFrog CI/CD管道中免费NeuraLegion帐户.
