使用JFrog和neuralion在DevSecOps中自动化ast
NeuraLegion的副总裁Oliver Moradov向我们介绍了如何使用JFrog和NeuraLegion在管道中自动化AppSec测试。
长发布周期的日子已经一去不复返了——在我们敏捷开发的世界里,开发人员以前所未有的规模和速度交付软件和更多的功能,这是不可行的。
在DevOps中,我们有多个开发团队运行多个并发构建,这很好,但是安全测试没有跟上。安全向左转移才能实现DevSecOps,您需要能够跟上这一步伐的DAST(动态应用程序安全测试)工具。
传统的DAST工具缓慢、不准确,并且不是为现代应用程序构建的,这使得开发人员很难使用、理解和信任他们的输出。这导致依赖于缓慢、昂贵的手动安全性测试,无论是由内部还是外部团队进行,并造成发布瓶颈。
您要么必须等待手动安全检查和验证完成(永远不会发生),要么接受风险并进行部署。这将导致生产中的重大漏洞,因为问题仅在事件发生几个月后才得到修复软件分发如果完成了(如果有的话),那么您最终将面临相当难以克服的技术和安全债务。
继续阅读,了解如何通过自动运行DAST作为JFrog Pipelines with neuralion的一部分来提高应用程序的安全性。我们将解释neuralion的NexPloit如何补充JFrog x射线JFrog开发运维平台通用软件组合分析(SCA)解决方案用于识别开源漏洞和许可证遵从性违规。
我们也邀请你观看“让Sec参与DevSecOps”,这是JFrog和neuralgion最近联合举办的网络研讨会。neuraleion首席技术官Bar Hofesh和JFrog开发者倡导者Sven Ruppert深入研究了AppSec测试自动化,以及我们公司的联合解决方案。
自动化安全测试作为您的JFrog管道与neuralgion的一部分
NeuraLegion的NexPloit是一款创新的、人工智能驱动的、以开发人员为中心的DAST扫描仪,消除了传统DAST工具的痛点和局限性。它提供AppSec测试自动化为您的DevOps和CI/CD管道,这样你就可以测试你的web应用程序和api。
主要特点包括:
- 无缝集成到您的管道中(如JFrog)
- 开发人员友好,使用专有的智能扫描删除复杂的测试设置和配置,以便您可以针对您的目标进行正确的测试
- 测试每个构建/提交,确保扫描能够以DevOps的速度完成,同时有效地识别安全漏洞
- 以自动化的方式删除误报,以避免让开发人员(和安全团队)浪费时间筛选误报,从而延迟(和惹恼)他们
- 清晰有效的补救指引
NeuraLegion与JFrog Pipelines的集成意味着您可以在每次提交时进行安全测试自动化,作为部署管道的一部分。准备是一件轻而易举的事。查看下面的示例,开始在每个构建中获得安全遵从性!
集成和配置JFrog和NexPloit
对于本例,我们将在GitHub存储库中使用一个易受攻击的应用程序,并设置一个JFrog管道。我们将使用neuralion的DAST扫描器NexPloit对目标运行初始安全扫描,JFrog将根据我们的设置破坏构建。在另一次提交之后,JFrog将自动扫描新构建中的安全问题。
你需要建立一个免费的exploit。应用程序帐户运行安全测试。您还需要JFrog管线。你可以用JFrog免费云订阅,其中还包括JFrog Artifactory和JFrog Xray。
的此示例的代码存储库包含易受攻击的示例应用程序和相应的JFrog的公开可用存储库管道YAML文件。您可以随意将此目标用作测试项目。
该YAML文件包含安全扫描的配置和管道本身(称为exploit),以及回购和执行步骤的详细信息。
我们可以将Git存储库视为JFrog资源,并且可以将此存储库用于任何事件,例如推送新提交,作为运行安全扫描的触发器。
执行步骤如下:
- 设置环境(NodeJS)
- 安装NexPloit CLI实用程序-使用NexPloit API,使您能够运行,轮询状态和停止扫描
然后我们有扫描设置的细节,详细说明:
- 将在目标上使用爬虫来探测攻击面
- NEXPLOIT_TOKEN—使用Nexploit API所需的令牌(参见下面如何获得它)
- 扫描的长度
- 断点——在这种情况下,在检测到严重漏洞时构建失败
首先,让我们在JFrog Pipelines中设置一个自动扫描。
进入“节点池>接入节点池”界面,进行配置。
下一步:我们需要添加我们的集成。如果你还没有,我们的GitHub和exploit。需要添加应用程序集成。
集成GitHub与JFrog平台
让我们获取GitHub令牌。
在GitHub中,转到设置>开发者设置>个人访问令牌>生成新令牌
复制这个令牌,然后在JFrog平台中转到Integration > Add an Integration
现在给集成一个Name、Type并添加Token
整合neuralion的利用。应用程序与JFrog平台
我们使用“通用集成”类型遵循相同的过程。您需要通过您的nexploit.app帐户。
在nexploit。app,进入用户设置>创建新的API密钥>全选>创建并复制令牌。这可以在JFrog平台中用于设置集成:
现在让我们转到管道源>添加管道源> From YAML
在选择“创建源代码”之前,为SCM提供商集成选择您的GitHub集成,带有JFrog配置和分支的存储库名称。
现在您已经准备好构建并运行一个新的扫描了!
进入管道>利用>利用>触发此步骤
然后,您将获得当前CI流程的视图。
在上图中,我们可以看到DAST安全扫描已经启动,我们正在轮询结果。
现在,我们可以通过漏洞上的NexPloit仪表板查看安全扫描状态和结果。应用程序检查状态,使用提供的链接。
我们可以看到,扫描器已经在目标上检测到许多自动验证的安全问题,这些问题可以在不需要任何手动验证的情况下修复。
结果为开发人员提供了了解问题所需的一切,如何复制它,更重要的是,如何通过补救指导来修复它:
提供了带有不同视图(添加/删除的内容)的请求,以及响应、报头和正文。
在这个特殊的例子中跨站点脚本(XSS)问题,我们还以屏幕截图的形式提供了额外的证据作为概念证明,所以你知道漏洞是存在的:
exploit与JIRA集成因此,每个检测到的问题都会自动发出一个罚单,或者您可以使用JIRA和JFrog管道集成.
在检测到高严重性问题时,生成失败并停止扫描。
扫描器设置为每次在存储库中提交更改时自动扫描,使开发人员能够在每次提交时运行自动的、全面的和精确的安全扫描。
以DevOps的速度进行安全测试
正如你所看到的,连接神经军团的DASTAppSec扫描到您的JFrog管道是简单而直接的。您还可以继续使用其他CI集成,例如Jenkins(通过NeuraLegion或JFrog),以及票务系统JIRA.
无论是测试您的web应用程序还是api (SOAP、REST、GraphQL),生成的结果都是以开发人员友好的方式组织的,因此您可以了解漏洞以及修复和修复它们所需的一切,具有完全验证的结果,没有误报。
使用JFrog和neuralion,您现在可以在几分钟内创建端到端部署管道,并将安全测试作为一个组成部分,不会减慢您的速度,不会产生太多噪音,并通过简化的DevSecOps流程部署安全产品。hth华体会最新官方网站
观看网络研讨会在这里,我们将介绍JFrog Pipelines和JFrog Xray,并提供NeuraLegion平台的演示,以便您可以开始转移安全测试。
如果你想今天就开始,你可以将neuralgion集成到你的JFrog CI/CD管道中免费的neuralion帐户.
