In diesem Video führt uns Garrett Gross, leitender Spezialist für Anwendungssicherheit bei Rapid7, durch die Integration der branchenführenden DAST-Lösung InsightAppSec von Rapid7 mit der Jenkins-Automatisierungsplattform. Mit diesem Plugin können Sie anpassbare Pass/Fail-Build-Bedingungen im bestehenden CI/CD-Workflow Ihrer Entwickler einrichten. Durch die gemeinsame Verwendung dieser Tools und Prozesse mit Ihren DevOps-Teams können Sie per Shift-Left-Testing-Ansatz frühzeitig im SDLC eingreifen und Benutzern sicherere Erfahrungen bieten.
CI/CD bedeutet “continuous integration and continuous delivery." „CD“ kann auch für kontinuierliche Bereitstellung (Continuous Deployment) stehen. Für dieses Video konzentrieren wir uns darauf, wie unsere DAST-Lösung mit Jenkins und anderen Automatisierungsplattformen zusammenwirkt, die eine kontinuierliche Integration und Lieferung ermöglichen.
Jenkins lässt sich wie andere Automatisierungsplattformen auch mit Versionskontrollsystemen integrieren, um Software-Builds auszuführen. In der Regel wird dies per Code-Commit oder eine normale Kadenz ausgelöst. Innerhalb dieser Builds können Sie Bestanden/Nicht bestanden-Bedingungen (Pass/Fail) erstellen, die eine bessere Qualitätskontrolle für die Releases ermöglichen. Die Funktionalität kann mithilfe von Plugins wie z. B. dem hier besprochenen weiter ausgeweitet werden, um die Pass/Fail-Logik um zusätzliche Bedingungen zu ergänzen.
Dazu haben wir hier bei Rapid7 ein Plugin entwickelt, das den Zugriff auf die API der Insight-Plattform nutzt und dafür sorgt, dass die Ergebnisse des InsightAppSec-Scans den Build-Pass/Fail-Status berücksichtigen. Dadurch erhalten die DevOps-Teams Erkenntnisse über Schwachstellen, bevor die Version für die Produktion freigegeben wird, und Sicherheitsteams können mithilfe des Shift-Left-Testing-Ansatzes bereits frühzeitig eingreifen und den DevOps-Prozess gemeinsam verbessern, anstatt diesen zu unterbrechen.
Darüber hinaus bietet die Jenkings-Integration die Möglichkeit, einen Build so einzurichten, dass er fehlschlägt, wenn der Scan bestimmte Ergebnisse zurückgibt. Sie könnten dies so konfigurieren, dass es nur zum Fail kommt, wenn Schwachstellen hoher und mittlerer Gefährdungsstufen zurückgegeben werden oder nur Schwachstellen mit einer bestimmten URL-Syntax.
Einer der unmittelbaren Vorteile ist die Fähigkeit, Schwachstellen viel früher im Entwicklungsprozess zu erkennen und zu beheben. Dadurch sparen Sie Zeit und Geld bei der Behebung von Problemen, vor allem wenn die Schwachstelle in der Produktion ausgenutzt werden sollte.
Plugins wie dieses fördern die Integration mit Ihrem CI/CD-Workflow. Aufgrund der robusten API der Insight-Plattform wird die Integration mit nahezu jeder Build-Automatisierungsplattform vereinfacht . Das API ist vollständig dokumentiert, und es gibt eine interaktive Anleitung im Bereich für Hilfedokumente auf unserer Website. Außerdem kann eine Swagger-Datei heruntergeladen werden.
Ich hoffe, ich konnte Ihnen in diesem Video vermitteln, wie einfach InsightAppSec mit der Jenkins-Automatisierungsplattform integriert werden kann und wie leicht DAST-Scanning in Ihren DevOps-Prozess aufgenommen werden kann. Vielen Dank fürs Zusehen!
