OWASP bietet eine breite Palette von Tools und Dienstprogrammen für Softwareentwickler und Sicherheitsforscher, um die Sicherheit von Webanwendungen zu verbessern.
Der OWASP -Abhängigkeits -Checker ist ein Tool, mit dem Sie öffentlich offengelegte Schwachstellen scannen und erkennen können, die möglicherweise in den Abhängigkeiten eines bestimmten Projekts enthalten sein können. Das Tool scannt das Projekt auf bekannte Schwachstellen und generiert einen Bericht, der auf den Ergebnissen basiert.
Der Bericht enthält einen Link zu allen gefundenen CVEs sowie die Details und Schwere jeder Sicherheitsanfälligkeit.
In diesem Tutorial lernen wir, wie Sie das OWASP -Abhängigkeitsprüfungsplugin in Jenkins verwenden, um ein Projekt nach bekannten Schwachstellen zu scannen.
Schritt 1: Installieren Sie das OWASP -Abhängigkeits -Plugin
Schritt 1: Installieren Sie das OWASP -Abhängigkeits -Plugin
Der erste Schritt besteht darin, das OWASP -Abhängigkeits -Plugin auf unserem Jenkins -Server zu installieren. Melden Sie sich in Ihr Jenkins Dashboard an und navigieren Sie zu "Verwalten von Jenkins".
Wählen Sie "Plugins verwalten", um das OWASP -Abhängigkeitsprüfungsplugin zu durchsuchen und zu installieren.
Wählen Sie als Nächstes "verfügbare Plugins" und suchen Sie nach "OWASP -Abhängigkeitsprüfung".
Wählen Sie die neueste Version (5.2.1 Zum Schreiben) und klicken Sie jetzt auf „Jetzt herunterladen und nach dem Neustart installieren.”
Dies sollte das OWASP -Abhängigkeitsprüfungs -Plugin installieren, sodass Sie es in Ihren Jenkins -Pipelines verwenden können.
Schritt 2: Konfigurieren Sie das OWASP -Abhängigkeitsprüfungsplugin
Der nächste Schritt besteht darin.
Navigieren Sie, um Jenkins -> Globale Toolkonfiguration zu verwalten.
Scrollen Sie nach unten, bis Sie den Abschnitt „Abhängigkeitsprüfung“ finden. Klicken Sie anschließend auf den Abschnitt Abhängigkeitsprüfen -Installation.
Auf diese Weise können Sie die Abhängigkeitskontrollinstallationen auf dem Jenkins-Server definieren. Klicken Sie auf "Abhängigkeitsüberprüfung hinzufügen", um einen neuen Abhängigkeitsprüfer zu konfigurieren.
Geben Sie den Namen der Abhängigkeitsprüfungsinstallation ein. Beachten Sie diesen Namen, da Sie ihn in Ihren späteren Builds benötigen.
Wählen Sie "automatisch installieren". Wählen Sie die gewünschte Plugin -Version und klicken Sie auf "Speichern", um die Änderungen anzuwenden.
Schritt 3: Verwenden Sie das Abhängigkeitsprüfungsplugin
Sobald wir die Plugin -Installation konfiguriert haben, können wir die Plugin -Verwendung auf unserem Jenkins -Server testen.
Für diese Demonstration verwenden wir die DVWA -Webanwendung, die im folgenden Link bereitgestellt wird:
https: // github.com/digininja/dvwa
Sie können das Repository in Ihr Github -Konto verlaufen, es klonen und auf einem lokalen Server hosten.
Öffnen Sie das Jenkins -Armaturenbrett und wählen Sie das Armaturenbrett „Open Blue Ocean“ für die Blue Ocean -Schnittstelle aus.
Hinweis: Dies erfordert, dass Sie das Blue Ocean -Plugin auf Ihrem System installieren müssen.
Wählen Sie im Blue Ocean Dashboard "neue Pipeline" aus, um eine neue Jenkins -Pipeline zu erstellen.
Wählen Sie den Ort, an dem Sie Ihren Quellcode speichern. Wenn Sie das DVWA -Repository in Ihr GitHub -Konto gegabelt haben, wählen Sie GitHub aus.
Wenn Sie den Quellcode auf einem lokalen Server kloniert und gehostet haben, wählen Sie „Git“, um fortzufahren.
Geben Sie als nächstes die URL in das DVWA -Repository an. Zu Demonstrationszwecken haben wir das DVWA -Repository auf einem lokalen Git -Server gehostet. Daher stellen wir den Link zum Repository an, wie in Folgendes gezeigt:
Geben Sie als Nächstes den Benutzernamen und das Passwort Ihrem Repository an.
Klicken Sie auf "Pipeline erstellen", um mit dem nächsten Schritt fortzufahren. Dadurch werden eine neue Pipeline erstellt und ermöglicht es Ihnen, die Build -Anweisungen anzugeben.
Hinweis: Da unser Repository keine JenkinsFile enthält, können wir mit Jenkins die Pipeline am vorderen Ende definieren.
Klicken Sie auf "Pipeline erstellen", um die Anweisungen für eine JenkinsFile zu definieren.
Drücken Sie die Taste hinzufügen, um eine neue Bühne hinzuzufügen. Fügen Sie den Künstlernamen hinzu.
Klicken Sie auf "Schritt hinzufügen", um der Build -Phase einen neuen Schritt hinzuzufügen.
Suchen Sie nach Abhängigkeit und wählen Sie "Abhängigkeitsprüfung aufrufen".
Stellen Sie im nächsten Abschnitt die ODCinstallation auf den Namen des Abhängigkeits -Plugins, das Sie früher im globalen Konfigurationstool erstellt haben. In unserem Fall haben wir den Namen "Owasp" zugewiesen.
Fügen Sie im Abschnitt zusätzlicher Argumente die Argumente wie folgt hinzu:
--Format HTML -Format XML
Dadurch kann das Abhängigkeitsprüfungsplugin die Ergebnisse in HTML- und XML -Formaten veröffentlichen.
Klicken Sie auf den hinteren Pfeil und wählen Sie "Schritt hinzufügen", um der Build -Phase einen weiteren Schritt hinzuzufügen.
Suchen Sie nach "Abhängigkeit" und wählen Sie "Ergebnisse der Abhängigkeitsprüfung veröffentlichen".
Sie können die Felder leer lassen, da sie optional sind. Klicken Sie dann auf den vorherigen Pfeil, um zum Build -Schritt zurückzukehren.
Sie sollten jetzt sehen, dass Ihre Build -Stufe zwei Schritte enthält:
Klicken Sie auf "Speichern", um das JenkinsFile im Repository zu veröffentlichen. Fügen Sie die Details des Commits hinzu und wählen Sie den Zielzweig aus.
Klicken Sie schließlich auf "Speichern und Ausführen", um die Änderungen zu veröffentlichen und den Build -Prozess zu starten.
Warten Sie, bis der Build -Prozess abgeschlossen ist und das Abhängigkeitsprüfungsplugin zum Scannen Ihres Codes und zum Veröffentlichen der Ergebnisse veröffentlichen.
Erweitern Sie den Schritt „Abhängigkeitskontrolle veröffentlichen“, um den Ort anzuzeigen, an dem die Berichte gespeichert werden.
Sie können dann den Bericht entweder in HTML oder XML öffnen, um die Ergebnisse anzuzeigen:
Abschluss
Sie haben erfahren. Sie haben auch festgestellt, wie Sie das Plugin in Ihrer Jenkins -Pipeline verwenden und die Ergebnisse in HTML- oder XML -Formaten veröffentlichen.