Fortify WebInspect

Automation

WebInspect automation workflows

WebInspect automation workflows use build automation tools to manage the dynamic scanning ecosystem, including QA testing and cloud deployments. 

Dynamic analysis (DAST), combined with static analysis (SAST), provides more thorough coverage, but automating dynamic is more complex. You can either build your own tech stack, or borrow a framework. This guide helps you accelerate your automation by using existing test automation scripts/frameworks that other enterprises have already created as part of their DevOps practices.

AppSec In-a-box avec Custodela

L'automatisation de WebInspect dans des systèmes et procédés DevOps existants permet l'exécution de tests de sécurité de façon simultanée et à l'échelle.

Regardez Ken McDonald de Custodela présenter une approche AppSec In-a-box à l'automatisation de WebInspect :

Dynamic Application Security Test Orchestration (DASTO)

Target résout la Dynamic Application Security Test Orchestration (DASTO) grâce à l'outil WebBreaker sur GitHub. Ce projet open-source emploie WebInspect pour permettre davantage d'agilité et de flexibilité afin d'offrir une intégration améliorée dans le pipeline SDLC, les flux de travail Git, etc.

  1. WebBreaker - Page d'accueil
  2. WebBreaker sur GitHub
  3. Bibliothèque des API Python WebInspect
  4. Bibliothèque des API Python Fortify SSC
Plugin Maven pour l'automatisation WebInspect

Le plugin Maven développé par Ruud Senden avec Fortify pour WebInspect et WebInspect Enterprise permet aux utilisateurs de créer des applications automatiquement, déployer des instances de test et exécuter des tests d'intégration. Intégrez le scénario suivant dans le pipeline CI/CD :

  1. Instanciez un proxy WebInspect
  2. Acheminez le trafic de ses tests d'intégration via ce proxy
  3. Enregistrez le trafic de proxy comme macro de flux de travail (et désactivez le proxy)
  4. Configurez un nouveau balayage basé sur cette macro de flux de travail Exécutez ce balayage sur WebInspect ou WebInspect Enterprise
WebInspect Automation – General workflow
WebInspect Automation – Flux de travail général

Les flux de travail d'automatisation utilisent un outil d'automatisation de création qui gère l'écosystème de balayage au moyen des étapes suivantes :

  1. L'équipe de sécurité configure les étapes de balayage de sécurité comme « tâche de sécurité » appelée suite à une création et suite au déploiement d'une appli, via l'outil d'automatisation de la création.
  2. Les équipes de développement soumettent des modifications de code à l'outil d'automatisation de création et, suite à la période de fonctionnement définie, la tâche de sécurité est déclenchée après la fin de la création et du déploiement de l'appli.
  3. Une fois la tâche de sécurité terminée, l'outil d'automatisation est configuré pour réussir ou échouer à la tâche de création en fonction du risque de sécurité défini par l'équipe de sécurité.
  4. Les résultats sur les vulnérabilités de sécurité sont capturés dans le Fortify Software Security Center (SSC), d'où ils peuvent être déplacés vers des référentiels de bogues via les intégrations disponibles sur le SSC.

Tâche de sécurité de base - WebInspect

Head ?
Etape 1
Vérifiez l'intégrité du capteur WebInspect pour assurer la disponibilité du scanner à des fins de balayage.
face to face
Étape 2
Appelez la REST API/ligne de commande WebInspect pour démarrer un balayage. Pour ce faire, il faut fournir l'URL et les informations de connexion et de fichier de paramètres nécessaires. 1. Référence API WI : http://hostname:port/webinspect/swagger/ui/index#/
Certificate 1
Étape 3
Interrogation du capteur pour vérifier l'état du balayage et déclencher les prochaines étapes lors de l'achèvement du balayage.
Thumb up
Étape 4
Lors de l'achèvement du balayage, exportez les résultats en FPR vers un serveur doté de Fortify Client et chargez-les dans SSC via le Fortify Client. 1. La documentation Fortify Client se trouve dans le Guide d'installation et de configuration SSC (Software Security Center) de Fortify.
Tâche de sécurité de base - WebInspect Enterprise

Ceci est plus simple, car WIE gère la planification et l'interrogation pour identifier la disponibilité d'un capteur. WebInspect Enterprise publie également les résultats de façon automatique dans Fortify Software Security Center.

  1. Appelez l'API du serveur WebInspect Enterprise pour planifier un balayage avec l'URL et les informations sur le fichier/modèle de paramètres.
Proxy and QA Automation
Proxy et automatisation de l'assurance qualité

L'automatisation peut employer les artefacts générés pendant les tests fonctionnels d'assurance qualité (par exemple, les scripts Selenium pour l'automatisation des balayages WI/WIE). L'avantage de cette approche est :

  1. Les tests fonctionnels impliquent souvent une séquence de mesures auxquelles est associée une logique d'entreprise, alors qu'il est impossible de modéliser ces tests à partir d'un balayage automatique WebInspect aveugle.
  2. La possibilité d'utiliser la séquence de connexion utilisée lors des tests fonctionnels et de ne pas créer une macro de connexion WebInspect. Pour ce faire, il faut configurer des paramètres pour exclure la page de connexion du balayage ou audit WI, et pour assurer qu'une déconnexion ne se produise pas pendant le balayage de sécurité.

Tâche de sécurité, contrôle de la qualité - WebInspect

Ajoutez ces étapes à la tâche de sécurité de base - WebInspect :

Screen gear
Étape 1 - WebInspect
Création d'un proxy WI via REST API et relecture de l'artefact QA capturé pour générer un fichier de trafic. Le fichier de trafic est ensuite enregistré comme WebMacro.
Screen code
Étape 2 - WebInspect
Utilisation de la ligne de commande/REST API pour modifier le fichier de paramètres par défaut. Le fichier de paramètres est écrasé ] une macro de flux de travail enregistrée depuis le fichier de trafic à l'étape 1.

Tâche de sécurité, contrôle de la qualité - WebInspect Enterprise

Les mêmes étapes supplémentaires que celles de WebInspect.

News 1
Étape 1 – WebInspect Enterprise
Pour les clients qui n'ont pas accès à WI pour ordinateur de bureau pour créer un proxy, téléchargez une instance sans licence d'un proxy disponible sur le marché.
Doc find
Étape 2 – WebInspect Enterprise
Après la création d'un fichier de paramètres, le processus d'initiation d'un balayage de WIE implique des étapes supplémentaires. L'utilisateur devrait consulter WIE REST Create Scan Guide APR 2017.
Automation in the Cloud
Automatisation dans le cloud

Un autre cas d'utilisation est l'automatisation dans le cloud via le déploiement des capteurs pour WI et pour WIE, et l'évolution dynamique de l'installation du capteur jusqu'au niveau des tests de sécurité des applications sous traitement.

  1. L'équipe de sécurité accède au pipeline des requêtes de balayage et détermine la mise à l'échelle ou non des capteurs N. Attribuez des licences en fonction de ce critère.
  2. Les équipes de sécurité utilisent le flux de travail général décrit dans le flux de travail général, puis elles suivent les étapes 1 et 2.

Tâche de sécurité dans le cloud - Évolution des capteurs WebInspect

Cloud secure
Etape 1
Un MSI d'installation WebInspect est stocké dans le cloud et prêt pour le déploiement. [call location: cloud_memory]
face to face
Étape 2
L'équipe de sécurité appelle l'API du cloud pour créer une instance Windows et utilise la ligne de commande de l'instance (C_Instance) pour réaliser une installation sans interface du capteur WebInspect depuis l'emplacement : cloud_memory.
Consolidate
Étape 3
Des paramètres nécessaires et fichiers macro sont déployés sur l'instance
Thumb up
Étape 4
Un balayage est déclenché dans la ligne de commande (C_Instance) utilisant les REST API de WebInspect dans cette instance-là. Lors de l'achèvement du balayage, exportez les résultats en FPR vers un serveur doté de Fortify Client et chargez-les dans SSC via le Fortify Client.

Tâche de sécurité dans le cloud - Évolution des capteurs WebInspect Enterprise

Cloud gear
Etape 1
Des étapes supplémentaires sont nécessaires pour connecter et configurer le capteur pour qu'il se connecte à la couche de gestion du serveur WIE et pour attribuer des autorisations nécessaires pour un accès au capteur. Un MSI d'installation WebInspect est stocké dans le cloud et prêt pour le déploiement.
Screen gear
Étape 2
L'équipe de sécurité appelle l'API du cloud pour créer une instance Windows et utilise la ligne de commande de l'instance (C_Instance) pour réaliser une installation sans interface du capteur WIE depuis l'emplacement.
Screen code
Étape 3
Avec la ligne de commande : C_Instance, le capteur est configuré pour se connecter au serveur de gestion WIE. Appelez les REST API de la couche de gestion du serveur WIE pour accorder des autorisations et un accès au groupe de sécurité au capteur WIE.
Time forward
Étape 4
Une fois l'installation du capteur WIE terminée, appelez l'API du serveur WIE pour planifier un balayage avec l'URL et les informations sur le fichier/modèle de paramètres. Lors de l'achèvement du balayage, les résultats sont automatiquement synchronisés sur SSC.
Décharge légale

Ces informations sont fournies dans le cadre d'une démarche collective pour partager les approches en matière d'automatisation. Ces informations sont fournies à titre indicatif et ne constituent pas une approbation d'une solution particulière. Il n'existe peut-être aucun soutien ni assurance de qualité Fortify pour le contenu de cette page.

release-rel-2018-11-1-1289 | Wed Nov 7 06:29:38 PST 2018
1289
release/rel-2018-11-1-1289
Wed Nov 7 06:29:38 PST 2018