Fortify WebInspect

Automation

WebInspect automation workflows

WebInspect automation workflows use build automation tools to manage the dynamic scanning ecosystem, including QA testing and cloud deployments. 

Dynamic analysis (DAST), combined with static analysis (SAST), provides more thorough coverage, but automating dynamic is more complex. You can either build your own tech stack, or borrow a framework. This guide helps you accelerate your automation by using existing test automation scripts/frameworks that other enterprises have already created as part of their DevOps practices.

Segurança de aplicativos em uma caixa com o Custodela

A automação do WebInspect em sistemas de DevOps já existentes possibilita que os testes de segurança sejam executados simultaneamente e em escala.

Veja Ken McDonald da Custodela apresentar uma abordagem do tipo "segurança de aplicativos em uma caixa" à automação do WebInspect:

Orquestração de testes dinâmicos de segurança de aplicativos (DASTO)

O destino resolve a orquestração de testes dinâmicos de segurança de aplicativos (DASTO) com a ferramenta WebBreaker no GitHub. Esse projeto de código aberto utiliza o WebInspect para proporcionar mais agilidade e flexibilidade, com o objetivo de fornecer uma integração melhor ao pipeline de SDLC a fluxos de trabalho do Git, etc.

  1. Página principal do WebBreaker
  2. WebBreaker no GitHub
  3. Biblioteca de APIs em Python do WebInspect
  4. Biblioteca de APIs em Python do Fortify SSC
Plugin do Maven para automação do WebInspect

O plugin do Maven desenvolvido por Ruud Senden com o Fortify for WebInspect e o WebInspect Enterprise permite que os usuários compilem aplicativos automaticamente, implementem instâncias de teste e executem testes de integração. Integre o seguinte cenário ao pipeline de CI/CD:

  1. Instanciar um proxy do WebInspect
  2. Rotear o tráfego dos seus testes de integração por meio desse proxy
  3. Salvar o tráfego do proxy como uma macro de fluxo de trabalho (e fechar a proxy)
  4. Configurar uma nova verificação com base nessa macro de fluxo de trabalho Executar essa verificação no WebInspect ou no WebInspect Enterprise
WebInspect Automation – General workflow

Automação do WebInspect – fluxo de trabalho geral

Os fluxos de trabalho de automação usam uma ferramenta de automação de compilação que gerencia o ecossistema de verificação por meio das seguintes etapas:

  1. As equipes de segurança definem as etapas de verificação da segurança como uma “tarefa de segurança” que é chamada após uma compilação e após a implementação do aplicativo por meio da ferramenta de automação de compilação.
  2. As equipes de desenvolvimento enviam as alterações no código para a ferramenta de automação de compilação e, após o período operacional definido, a tarefa de segurança é acionada após a conclusão da compilação e da implementação do aplicativo.
  3. Quando a tarefa de segurança é concluída, a ferramenta de automação é configurada para aprovar ou reprovar o trabalho de compilação com base no risco à segurança definido pela equipe de segurança.
  4. As descobertas da vulnerabilidade da segurança são capturadas no Fortify Software Security Center (SSC) e, do SSC, podem ser movidos opcionalmente para repositórios de erros por meio das integrações disponíveis no SSC.

Tarefa básica de segurança – WebInspect

Head ?
Etapa 1
Verifique a integridade do sensor do WebInspect para garantir que o verificador esteja disponível para agendar uma verificação.
face to face
Etapa 2
Chame a API REST do WebInspect ou a linha de comando para iniciar uma verificação. Isso envolve a passagem do URL necessário, do arquivo de configurações e das informações de login. 1. Referência à API do WI: http://hostname:port/webinspect/swagger/ui/index#/
Certificate 1
Etapa 3
Sondar o sensor para verificar o status da verificação e acionar as próximas etapas quando a verificação for concluída.
Thumb up
Etapa 4
Quando a verificação for concluída, exporte as descobertas como um FPR para um servidor que contém o Fortify Client e faça o upload no SSC por meio do Fortify Client. 1. A documentação do Fortify Client se encontra no Guia de instalação e configuração do Fortify Software Security Center (SSC).
Tarefa básica de segurança – WebInspect Enterprise

É mais simples porque o WIE gerencia o agendamento e a sondagem para identificar a disponibilidade de um sensor. O WebInspect Enterprise também publica os resultados automaticamente no Fortify Software Security Center.

  1. Chame a API de servidor do WebInspect Enterprise para agendar uma verificação com informações de URL e arquivo/modelo de configurações.
Proxy and QA Automation

Automação de proxy e QA

A automação pode utilizar artefatos gerados durante os testes funcionais de QA (por exemplo, scripts de Selenium para automatizar verificações de WI/WIE). A vantagem dessa abordagem é:

  1. Frequentemente, o teste funcional envolve uma sequência de ações que têm uma lógica de negócios associada a elas, ao passo que é impossível modelar a partir de um rastreamento automático cego do WebInspect.
  2. A possibilidade de utilizar a sequência de login usada durante o teste funcional e não criar uma macro de login do WebInspect separada. Isso envolve a definição de configurações para excluir a página de login do rastreamento ou da auditoria do WI. Além disso, não ocorre o logout durante a verificação de segurança.

Tarefa de segurança de QA – WebInspect

Acrescente estas etapas à Tarefa básica de segurança — WebInspect:

Screen gear
Etapa 1 - WebInspect
Criar um proxy do WI por meio da API REST e repetir o artifato de QA capturado para gerar um arquivo de tráfego. Em seguida, o arquivo de tráfego é salvo como uma WebMacro.
Screen code
Etapa 2 - WebInspect
Usar a linha de comando/API REST para modificar o arquivo de configurações padrão. O arquivo de configurações é substituído e uma macro de fluxo de trabalho é salva a partir do arquivo de tráfego da etapa 1.

Tarefa de segurança de QA – WebInspect Enterprise

As mesmas etapas adicionais do WebInspect.

News 1
Etapa 1 – WebInspect Enterprise
Os clientes que não têm acesso ao WI para criar um proxy, podem baixar uma instância isenta de licença de um proxy disponível no mercado.
Doc find
Etapa 2 – WebInspect Enterprise
Após a criação de um arquivo de configurações, o processo de iniciar uma verificação para o WIE envolve etapas adicionais. O usuário deve consultar o WIE REST Create Scan Guide (Guia de criação de verificações REST) de abril de 2017.
Automation in the Cloud

Automação na nuvem

Outro caso de uso é a automação na nuvem ao implementar os sensores para WI e WIE e ajustar dinamicamente a escala da instalação dos sensores em torno da escala dos testes de segurança de aplicativos em processamento.

  1. A equipe de segurança acessa o pipeline de solicitação de verificações e determina o aumento ou a redução da escala de N sensores. Atribua licenças com base nesse requisito.
  2. As equipes de segurança usam o fluxo de trabalho geral descrito no fluxo de trabalho real e, em seguida, fazer um loop das etapas 1 e 2.

Tarefa de segurança na nuvem – Ajuste de escala para sensores do WebInspect

Cloud secure
Etapa 1
Um MSI de instalação do WebInspect é armazenado na nuvem e fica pronto para implementação. [local da chamada: cloud_memory]
face to face
Etapa 2
A equipe de segurança chama a API na nuvem para criar uma instância do Windows e usa a linha de comando da instância (C_Instance) para fazer uma instalação do sensor do WebInspect sem cabeçalho a partir do local cloud_memory.
Consolidate
Etapa 3
As configurações e os arquivos de macro necessários são implementados pela instância
Thumb up
Etapa 4
Uma verificação é acionada na linha de comando (C_Instance) usando as APIs de REST do WebInspect nessa instância. Quando a verificação for concluída, exporte as descobertas como um FPR para um servidor que contém o Fortify Client e faça o upload no SSC por meio do Fortify Client.

Tarefa de segurança na nuvem – Ajuste de escala para sensores do WebInspect Enterprise

Cloud gear
Etapa 1
Etapas adicionais são necessárias para conectar e configurar o sensor para se conectar à camada de gerenciamento do WIE Server e atribuir as permissões necessárias para ter acesso ao sensor. Um MSI de instalação do WebInspect é armazenado na nuvem e fica pronto para implementação.
Screen gear
Etapa 2
A equipe de segurança chama a API na nuvem para criar uma instância do Windows e usa a linha de comando da instância (C_Instance) para fazer uma instalação do sensor do WIE a partir do local.
Screen code
Etapa 3
Usando a linha de comando C_Instance, o sensor é configurado para se conectar ao servidor de gerenciamento do WIE. Chame as APIs REST da camada de gerenciamento do WIE para fornecer permissões e acesso ao grupo de segurança ao sensor do WIE.
Time forward
Etapa 4
Após a conclusão da instalação do sensor do WIE, chame a API do servidor do WIE para agendar uma verificação com informações de URL e arquivo de configurações/modelo. Quando a verificação é concluída, as descobertas são sincronizadas automaticamente com o SSC.
Isenção de responsabilidade

Essas informações são fornecidas como parte do esforço de uma comunidade para compartilhar abordagens à automação. As informações são fornecidas como orientação e não endossam nenhuma solução específica. É possível que não haja QA e suporte do Fortify referente ao conteúdo desta página.

release-rel-2018-11-1-1289 | Wed Nov 7 06:29:38 PST 2018
1289
release/rel-2018-11-1-1289
Wed Nov 7 06:29:38 PST 2018