Burp Suite企业版是设计来支持你的DevSecOps的需求。其中一种方法是通过我们预构建的通用CI/CD驱动程序。这允许用户与他们所选择的工具集成,因为我们相信更敏捷并不意味着更不安全。


集成不同的技术从来都是有挑战的。不过,最近我们关注的是在集成Burp Suite企业版与CI/CD管道时,减少所涉及的技术复杂性。


我们很高兴地宣布我们的新产品已经上市CI/CD驱动程序版本2021.3提供新的“打嗝网站驱动扫描”功能。新的“Burp站点驱动扫描”选项将使您可以直接从CI/CD系统浏览您的站点树,并在您的CI触发扫描中使用Burp Suite企业版的站点特定设置。这个额外的配置将允许您使用CI/CD工具构建更灵活、更强大的集成。

如何使用Burp网站驱动扫描?

如果你在特定的事件之后在你的站点上运行连续的扫描,比如新的提交,pull请求,或者在一个固定的时间表-例如一个每晚的构建,为什么不尝试站点驱动的扫描来实现以下结果。

改善site-matching

在过去,从Burp Suite Enterprise Edition中扫描现有站点是一个手动过程——需要在CI/CD构建步骤中输入关于站点的详细信息。然后,这个手动过程依赖于自动的地点匹配,将扫描与预期的地点配对。如果工具不能确定哪个现有站点是匹配的,CI/CD驱动程序将创建一个单独的新站点条目来扫描。由于每次扫描结果都存储在一个新的站点条目下,如果CI/CD驱动程序被迫创建一个新的单独的站点,那么趋势分析特性/图表将不可用。


通过新的站点驱动扫描功能,用户可以在Burp Suite Enterprise Edition中手动选择他们想要扫描的确切站点。这将更有效地使用高级分析和报告特性。在仪表板上,您现在可以跟踪新的、已解决的和回归的问题。新的站点匹配功能确保所有数据和扫描结果(来自用户创建的扫描和ci创建的扫描)被正确地组合起来进行趋势分析。

用户友好的配置

我们总是倾听用户的反馈。最近,一些订阅者向我们概述了他们觉得扫描设置过程过于复杂。为了解决这个问题,您现在可以导入站点树并选择要扫描的站点,而不是在构建步骤中直接手动输入包含/排除的url等站点详细信息。这使得这个过程更快更有效。还有一个选项可以运行初始扫描——这些检查配置是否成功和正确,并确保它按预期工作。一旦确认,您的配置就可以将站点及其设置导入CI/CD构建步骤,以便进行常规扫描。

集成到您的CI/CD工具

到目前为止,与其他应用程序(例如定制应用程序、Azure DevOps)的集成还很有限。为了改进此功能,我们进行了一些技术更改,使您能够与更广泛的CI/CD管道工具集成。接下来,您可以配置一个允许通过GraphQL API进行跨源请求的域白名单,以访问Burp Suite Enterprise Edition数据。


如果你已经在使用Jenkins或TeamCity,你需要将相应的域名列成白名单,以便使用新的CI/CD“Burp站点驱动扫描”选项。


下载CI/CD驱动程序下载Burp Suite Enterprise Edition,并尝试Burp站点驱动扫描。


曾经梦想成为Burp Suite企业版的产品经理吗?采取我们的路线图调查告诉我们你接下来想在这个产品中看到什么特性。