Fortify WebInspect

Automation

WebInspect automation workflows

WebInspect automation workflows use build automation tools to manage the dynamic scanning ecosystem, including QA testing and cloud deployments. 

Dynamic analysis (DAST), combined with static analysis (SAST), provides more thorough coverage, but automating dynamic is more complex. You can either build your own tech stack, or borrow a framework. This guide helps you accelerate your automation by using existing test automation scripts/frameworks that other enterprises have already created as part of their DevOps practices.

AppSec In-a-box mit Custodela

Durch die Automatisierung von WebInspect in vorhandenen DevOps-Systemen und -prozessen können Sicherheitstests skaliert und gleichzeitig ausgeführt werden.

Sehen Sie sich eine Präsentation von Ken McDonald von Custodela über einen AppSec In-a-box-Ansatz zur Automatisierung von WebInspect an:

Dynamic Application Security Test Orchestration (DASTO)

Target löst die Koordinierung von Sicherheitstests für dynamische Anwendungen (DASTO) mit dem WebBreaker-Tool auf GitHub. Dieses Open-Source-Projekt verwendet WebInspect für mehr Agilität und Flexibilität, um die Integration in die SDLC-Pipeline, Git-Workflows usw. zu verbessern.

  1. WebBreaker – Hauptseite
  2. WebBreaker auf GitHub
  3. WebInspect Python API Library
  4. Fortify SSC Python API Library
Maven-Plugin für die Automatisierung von WebInspect

Das Maven-Plugins, entwickelt von Ruud Senden, mit Fortify for WebInspect und WebInspect Enterprise, ermöglicht es Benutzern, automatisch Anwendungen zu erstellen, Testinstanzen einzusetzen und Integrationstests durchzuführen. Integrieren Sie folgendes Szenario in die CI/CD-Pipeline:

  1. Erstellen Sie eine Instanz eines WebInspect-Proxy
  2. Leiten Sie den Datenverkehr von den Integrationstests durch dieses Proxy
  3. Speichern Sie den Proxy-Verkehr als Workflow-Makro (und fahren Sie das Proxy herunter)
  4. Konfigurieren Sie gestützt auf dieses Workflow-Makro einen neuen Scan. Führen Sie diesen Scan entweder auf WebInspect oder WebInstect Enterprise durch.
Weitere Informationen
WebInspect Automation – General workflow
WebInspect-Automatisierung – Allgemeiner Workflow

Automatisierungs-Workflows verwenden ein Build-Automatisierungstool, das für das Verwalten des Überprüfungssystems folgende Schritte durchführt:

  1. Das Sicherheitsteam richtet die Sicherheitsüberprüfungsschritte als „Sicherheitsaufgabe“ ein, die nach einem Build und nach dem Einsatz der App mithilfe des Build-Automtisierungstools aufgerufen wird.
  2. Entwicklungsteams senden Codeänderungen an das Build-Automatisierungstool. Nach der festgelegten Betriebszeitspanne und nach Abschluss des Build und der Bereitstellung der App wird dann die Sicherheitsaufgabe ausgelöst.
  3. Nach Abschluss der Sicherheitsaufgabe, wird das Automatisierungstool so eingerichtet, dass es den Build-Auftrag entweder als bestanden oder misslungen kennzeichnet, basierend auf dem vom Sicherheitsteam definierten Sicherheitsrisiko.
  4. Die Sicherheitsschwachstellen werden im Fortify Software Security Center (SSC) erfasst. Von dort aus können sie wahlweise über die in SSC verfügbaren Integrationen an Fehler-Repositorys übertragen werden.

Grundlegende Sicherheitsaufgabe – WebInspect

Head ?
Schritt 1
Überprüfen Sie den Status des WebInspect-Sensors, um sicherzustellen, dass der Scanner für die Planung eines Scans verfügbar ist.
face to face
Schritt 2
Rufen sie die WebInspect-REST-API oder die Befehlszeile auf, um einen Scan zu initialisieren. Dazu müssen Sie die erforderliche URL, Einstellungendatei und Anmeldeinformationen eingeben. 1. WI-API-Verweis: http://hostname:port/webinspect/swagger/ui/index#/
Certificate 1
Schritt 3
Abrufen des Sensors um den Status des Scans zu überprüfen und die nächsten Schritte für die Durchführung des Scans auszulösen.
Thumb up
Schritt 4
Exportieren Sie nach Abschluss des Scans die Ergebnisse als FPR an einen Server, der Fortify Client enthält, und laden Sie diese über den Fortify Client zu SSC hoch. 1. Dokumentation zu Fortify Client befindet sich in den Installations- und Konfigurationsanleitungen im Fortify Software Security Center (SSC).
Grundlegende Sicherheitsaufgabe – WebInspect Enterprise

Dies ist einfacher, da WIE die Zeitplanung und das Polling verwaltet, um die Verfügbarkeit eines Sensors zu bestimmen. WebInspect Enterprise veröffentlicht Ergebnisse auch automatisch im Fortify Software Security Center.

  1. Rufen Sie die WebInspect Enterprise Server-API auf, um einen Scan mit URL und Einstellungendatei-/Vorlageninformationen einzuplanen.
Proxy and QA Automation
Proxy und Automatisierung der Qualitätssicherung

Die Automatisierung kann die während der QS-Funktionstests generierten Artefakte nutzen (z. B. Selenium-Skripts zur Automatisierung von WI/WIE-Scans). Dieser Ansatz hat folgende Vorteile:

  1. Funktionstests bestehen oft aus einer Reihe von Aktionen mit einer zugewiesenen Geschäftslogik. Es ist jedoch unmöglich, ein blindes automatisches WebInspect-Suchverfahren als Modell zu verwenden.
  2. Die Möglichkeit, während des Functional Testing eine Anmeldesequenz zu verwenden und kein separates WebInspect Login-Makro zu erstellen. Dazu müssen Einstellungen konfiguriert werden, die die Anmeldeseite vom WI-Suchverfahren oder Audit ausschließen und verhindern, dass während der Sicherheitsüberprüfung ein Abmeldevorgang durchgeführt wird.

QS-Sicherheitsaufgabe – WebInspect

Fügen Sie der grundlegenden Sicherheitsaufgabe folgende Schritte hinzu – WebInspect:

Screen gear
Schritt 1 – WebInspect
Einsatz eines WI-Proxy über REST API und Wiedergabe des erfassten QS-Artefakts, um eine Datenverkehrsdatei zu generieren. Die Datenverkehrsdatei wird dann als WebMacro gespeichert.
Screen code
Schritt 2 – WebInspect
Verwendung der Befehlszeile/REST API, um die standardmäßige Einstellungendatei zu modifizieren. Die Einstellungendatei wird überschrieben ] von einem Workflow-Makro, das von der Verkehrsdatei in Schritt 1 gespeichert wurde.

QS-Sicherheitsaufgabe – WebInspect Enterprise

Die gleichen zusätzlichen Schritte wie für WebInspect.

News 1
Schritt 1 – WebInspect Enterprise
Kunden, die keinen Zugriff auf WI-Desktop haben, um einen Proxy einzusetzen, können eine im Marketplace verfügbare lizenzfreie Instanz eines Proxz herunterladen.
Doc find
Schritt 2 – WebInspect Enterprise
Nach der Erstellung einer Einstellungendatei müssen zusätzliche Schritte ausgeführt werden, um einen Scan für WIE einzurichten. Benutzer werden auf den WIE REST Create Scan Guide APR 2017 verwiesen.
Automation in the Cloud
Automatisierung in der Cloud

Ein weiterer Anwendungsfall ist die Automatisierung in der Cloud durch Einsatz der Sensoren für WI sowie für WIE und durch dynamisches Skalieren der Sensoreninstallation in Übereinstimmung mit dem im Gang befindlichen Anwendungssicherheitstest.

  1. Das Sicherheitsteam greift aut die Scananforderungs-Pipeline zu und bestimmt die Skalierung/Deskalierung von N Sensoren. Die Lizenzen werden auf der Grundlage dieser Anforderung zugewiesen.
  2. Sicherheitsteams verwenden den angegebenen allgemeinen Workflow und durchlaufen die Schritte 1 und 2.

Cloud-Sicherheitsaufgabe – Skalierung für WebInspect-Sensoren

Cloud secure
Schritt 1
Eine WebInspect-Installations-MSI ist in der Cloud gespeichert und einsatzbereit. [call location: cloud_memory]
face to face
Schritt 2
Das Sicherheitsteam fordert die Cloud-API auf, eine Fensterinstanz zu erstellen und verwendet die Befehlszeile der Instanz (C_Instance), um eine Headless-Installation des WebInspect-Sensors vom Standort (cloud_memory) durchzuführen.
Consolidate
Schritt 3
Notwendige Einstellungen und Makrodateien werden über die Instanz bereitgestellt
Thumb up
Schritt 4
In der Befehlszeile (C_Instance) wird unter Verwendung der REST APIs von WebInspect in dieser Instanz ein Scan ausgelöst. Exportieren Sie nach Abschluss des Scans die Ergebnisse als FPR an einen Server, der Fortify Client enthält, und laden Sie diese über den Fortify Client zu SSC hoch.

Cloud-Sicherheitsaufgabe – Skalierung für WebInspect Enterprise-Sensoren

Cloud gear
Schritt 1
Zusätzliche Schritte sind erforderlich, um den Sensor für den Anschluss an die WIE-Servermanagementebene zu verbinden und zu konfigurieren und die erforderlichen Berechtigungen für den Zugriff auf den Sensor zuzuweisen. Eine WebInspect-Installations-MSI ist in der Cloud gespeichert und einsatzbereit.
Screen gear
Schritt 2
Das Sicherheitsteam fordert die Cloud-API auf, eine Fensterinstanz zu erstellen und verwendet die Befehlszeile der Instanz (C_Instance), um eine Headless-Installation des WIE-Sensors vom Standort durchzuführen.
Screen code
Schritt 3
Verwendung der Befehlszeile : C_Instance, der Sensor wurde für die Verbindung mit dem WIE-Managementserver konfiguriert. Rufen Sie die REST APIs der WIE-Servermanagementebene auf, um Berechtigungen und Zugriff der Sicherheitsgruppe auf den WIE-Sensor zu vermitteln.
Time forward
Schritt 4
Nachdem die Installation des WIE-Sensors abgeschlossen ist, rufen Sie die WIE-Server-API auf, um einen Scan mit URL und Einstellungendatei-/Vorlagenangaben einzuplanen. Nach Abschluss des Scans werden die Ergebnisse automatisch mit SSC synchronisiert.
Haftungsausschluss

Diese Informationen werden als Teil einer gemeinschaftlichen Aufgabe, Ansätze zur Automatisierung zu teilen, bereitgestellt. Die Informationen werden als Richtlinie bereitgestellt und stellen keine Gewähr für eine bestimmte Lösung dar. Es gibt keine Fortify Qualitätssicherung und Support für Inhalte auf diese Seite.

release-rel-2018-9-1-1062 | Wed Sep 12 19:30:14 PDT 2018
1062
release/rel-2018-9-1-1062
Wed Sep 12 19:30:14 PDT 2018