Fortify WebInspect

Automation

WebInspect automation workflows

WebInspect automation workflows use build automation tools to manage the dynamic scanning ecosystem, including QA testing and cloud deployments. 

Dynamic analysis (DAST), combined with static analysis (SAST), provides more thorough coverage, but automating dynamic is more complex. You can either build your own tech stack, or borrow a framework. This guide helps you accelerate your automation by using existing test automation scripts/frameworks that other enterprises have already created as part of their DevOps practices.

AppSec In-a-box con Custodela

L'automazione di WebInspect nei sistemi e processi DevOps esistenti permette che i test di sicurezza siano eseguiti contemporaneamente e in scala.

Guardate la presentazione di Ken McDonald di Custodela sull'approccio AppSec In-a-box per l'automazione di WebInspect:

Orchestrazione dei test dinamici della sicurezza delle applicazioni (DASTO)

Target risolve l'orchestrazione dei test dinamici della sicurezza delle applicazioni (DASTO) con lo strumento WebBreaker su GitHub. Questo progetto open-source utilizza WebInspect per realizzare agilità e flessibilità maggiori al fine di fornire una migliore integrazione nella linea SDLC, nei flussi di lavoro Git, ecc.

  1. Pagina principale di WebBreaker
  2. WebBreaker su GitHub
  3. Libreria API Python di WebInspect
  4. Libreria API Python di Fortify SSC
Plugin maven per l'automazione WebInspect

Il plugin maven sviluppato da Ruud Senden con Fortify per WebInspect e WebInspect Enterprise permette agli utenti di costruire automaticamente le applicazioni, implementare le istanze di test ed eseguire i test dell'integrazione. Integrate lo scenario seguente nella linea CI/CD:

  1. Implementate un proxy WebInspect
  2. Instradate il traffico dai loro test di integrazione tramite questo proxy.
  3. Salvate il traffico del proxy come una macro del flusso di lavoro (e disattivate il proxy)
  4. Configurate una scansione nuova in base a questa macro del flusso di lavoro. Eseguite questa scansione su WebInspect oppure WebInspect Enterprise
Per saperne di più
WebInspect Automation – General workflow
Automazione di WebInspect – Flusso di lavoro generale

I flussi di lavoro dell'automazione usano uno strumento di build automation che gestisce l'ecosistema di scansione con i passaggi seguenti:

  1. I team responsabili della sicurezza configurano le fasi di scansione di sicurezza come un'"attività di sicurezza" che viene chiamata dopo un'elaborazione e dopo lo sviluppo di un'app tramite lo strumento di build automation.
  2. I team responsabili della sicurezza inviano le modifiche del codice allo strumento di build automation e dopo il periodo operativo impostato, l'attività di sicurezza viene avviata al termine dell'elaborazione e lo sviluppo dell'app è completo.
  3. Al termine dell'attività di sicurezza, lo strumento di automazione è impostato per far superare o respingere il compito di elaborazione in base ai rischi per la sicurezza definiti dal team di sicurezza.
  4. I risultati relativi alle vulnerabilità della sicurezza vengono acquisiti da Fortify Software Security Center (SSC), da cui in via opzionale possono essere spostati in repository dei bug tramite integrazioni disponibili su SSC.

Attività di sicurezza di base – WebInspect

Head ?
Fase 1
Controllo dello stato del sensore WebInspect per verificare che lo scanner sia disponibile per programmare una scansione.
face to face
Fase 2
Richiamo del REST API/ di WebInspect o della riga di comando per avviare una scansione. Ciò richiede che siano forniti l'URL necessario, il file delle impostazioni e le informazioni di accesso. 1. Riferimento API di WI: http://hostname:port/webinspect/swagger/ui/index#/
Certificate 1
Fase 3
Polling del sensore per controllare lo stato della scansione e avviare le fasi successive al termine della scansione.
Thumb up
Fase 4
Al termine della scansione esportazione dei risultati come FPR a un server che contiene il client Fortify e caricamento su SSC tramite il client Fortify. 1. Documentazione del client Fortify trovata nell'installazione di Fortify Software Security Center (SSC) e nella guida alla configurazione.
Attività di sicurezza di base – WebInspect Enterprise

È più semplice perché WIE gestisce la pianificazione e il polling per identificare la disponibilità di un sensore. Inoltre WebInspect Enterprise pubblica automaticamente i risultati in Fortify Software Security Center.

  1. Chiamate l'API del server WebInspect Enterprise per pianificare una scansione con URL e file delle impostazioni/informazioni del modello.
Proxy and QA Automation
Proxy e automazione di QA

L'automazione può utilizzare artefatti generati durante i test funzionali di QA (per esempio script Selenium per automatizzare le scansioni WI/WIE). Il vantaggio di questo approccio è:

  1. I test funzionali implicano spesso una sequenza di azioni a cui è associata una logica aziendale, rendendo impossibile la modellazione a partire da un crawling automatico WebInspect alla cieca.
  2. La possibilità di utilizzare la sequenza di accesso usata durante i test funzionalo e non creare una macro di accesso WebInspect separata. Ciò implica la configurazione di impostazioni per escludere la pagina di accesso dal crawling o dall'audit WI e quindi per fare in modo che non si verifichi un'uscita durante una scansione di sicurezza.

Attività di sicurezza QA – WebInspect

Aggiungete questi passaggi all'attività di sicurezza di base—WebInspect:

Screen gear
Fase 1 - WebInspect
Utilizzo di un proxy WI tramite REST API e riproduzione dell'artefatto QA acquisito per generare un file di traffico. Il file di traffico viene poi salvato come WebMacro.
Screen code
Fase 2 - WebInspect
Utilizzo della riga di comando/REST API per modificare il file delle impostazioni predefinite. Il file delle impostazioni viene sovrascritto ] una macro del flusso di lavoro salvata dal file di traffico nella fase 1.

Attività di sicurezza di QA – WebInspect Enterprise

Passaggi aggiuntivi uguali a quelli per WebInspect.

News 1
Fase 1 – WebInspect Enterprise
Per i clienti che non hanno accesso a un desktop WI per avviare un proxy, scaricate un'istanza senza licenza di un proxy disponibile sul marketplace.
Doc find
Fase 2 – WebInspect Enterprise
Dopo la creazione di un file delle impostazioni, il processo di avviamento di una scansione per WIE implica delle fasi aggiuntive. L'utente dovrebbe fare riferimento alla guida per la creazione della scansione WIE REST APR 2017.
Automation in the Cloud
Automazione sul cloud

Un altro tipo di utilizzo è l'automazione sul cloud con lo sviluppo di sensori sia per WI sia per WIE e l'installazione scalabile dinamicamente dei sensori in base alle dimensioni dei test di sicurezza delle applicazioni in fase di esecuzione.

  1. Il team responsabile della sicurezza accede alla linea della richiesta di scansione e determina se aumentare/ridurre le dimensioni di N sensori. Assegnazione delle licenze in base a questo requisito.
  2. I team responsabili della sicurezza utilizzano il flusso di lavoro generale descritto in se stesso e creano loop delle fasi 1 e 2.

Attività di sicurezza su cloud – Scalabilità per sensori WebInspect

Cloud secure
Fase 1
Un'installazione MSI di Webinspect è salvata nello storage cloud e pronta per l'implementazione. [posizione di chiamata: cloud_memory]
face to face
Fase 2
Il team di sicurezza richiama l'API del cloud per creare un'istanza widows e usa la linea di comando dell'istanza (C_Instance) per realizzare un'installazione headless del sensore Webinspect dalla posizione: cloud_memory
Consolidate
Fase 3
Le impostazioni necessarie e i file delle macro vengono implementati nell'intera istanza.
Thumb up
Fase 4
Una scansione viene avviata sulla riga di comando (C_Instance) usando i REST API di WebInspect in tale istanza. Al termine della scansione esportazione dei risultati come FPR a un server che contiene il client Fortify e caricamento su SSC tramite il client Fortify.

Attività di sicurezza su cloud – Scalabilità per sensori WebInspect Enterprise

Cloud gear
Fase 1
Sono necessarie delle fasi aggiuntive per collegare e configurare il sensore al fine di eseguire la connessione al livello di gestione del server WIE e assegnare le autorizzazioni richieste per l'accesso al sensore. Un'installazione MSI di Webinspect è salvata nello storage cloud e pronta per l'implementazione.
Screen gear
Fase 2
Il team di sicurezza richiama l'API del cloud per creare un'istanza widows e usa la linea di comando dell'istanza (C_Instance) per realizzare un'installazione headless del sensore WIE dalla posizione:
Screen code
Fase 3
Usando la riga di comando: C_Instance, il sensore viene configurato in modo che si connetta al server di gestione WIE. Richiamate i REST API del livello di gestione del server WIE per fornire le autorizzazioni e l'accesso del gruppo di protezione al sensore WIE.
Time forward
Fase 4
Una volta terminata l'installazione del sensore WIE, richiamo dell'API del server WIE per programmare una scansione con URL e file delle impostazioni/informazioni del modello. Al termine della scansione viene eseguita automaticamente la sincronizzazione dei risultati con SSC.
Dichiarazione di non responsabilità

Queste informazioni vengono fornite come parte di uno sforzo comunitario di condividere gli approcci all'automazione. Le informazioni vengono fornite come linee guida e non rappresentano alcuna indicazione di avvallo di una soluzione particolare. Potrebbe non esserci un QA e un supporto di Fortify per il contenuto all'interno di questa pagina.

release-rel-2018-9-1-1062 | Wed Sep 12 19:30:14 PDT 2018
1062
release/rel-2018-9-1-1062
Wed Sep 12 19:30:14 PDT 2018