研究 学院 beplay2018官网
bepaly下载网址 bepaly下载官网 关于 博客 职业 合法的 接触 经销商

企业

CI/CD集成的可选设置

  • 最近更新时间:2022年4月29日

  • 阅读时间:5分钟

此外配置集成在你之间CI/CD系统和bepaly下载软件 ,本机插件和通用驱动程序都提供各种可选设置,使您可以微调扫描及其结果如何影响您的构建管道。

对于本机插件,这些选项是使用输入字段和菜单在其提供的自定义构建步骤中控制的。对于通用驱动程序,您可以通过将参数附加到触发扫描的命令中来指定您的设置。请参考参数参考指南详细信息。

使用本机平台插件配置可选设置

一旦在管道中添加了相关的构建步骤并添加了API链接和键,就可以直接在“ BURP站点驱动的扫描”或“ Burp Scan”构建步骤中调整以下设置。

JSON格式的扫描定义 - (仅用于Burp扫描)
描述

您以与REST API相同的JSON格式创建的自定义扫描定义。您可以使用此选项来覆盖站点使用的默认扫描配置,或为与现有站点不匹配的一次性扫描提供详细的扫描定义。

例子
{“ name”:“示例”,“ scan_configurations”:[{“ name”:“审核检查 - 浅色活动”,“ type”:“ nesualconfiguration”}],“ urls”:[https:///example.com/“]]}

构建失败所需的最低严重性问题
描述

扫描必须在构建失败之前必须找到的最低问题。

例子

默认:中等的

构建失败所需的最低信心问题
描述

在构建失败之前,必须通过扫描找到的最小发行置信度水平。

例子

默认:暂定的

构建之前允许的最低问题数量将失败
描述

构建之前允许的问题数量将失败。

例子

默认:0
这意味着超过配置的严重性/置信度阈值的任何问题都会导致构建失败。

在放弃之前等待几秒钟的时间长度
描述

CI/CD系统应等待从扫描中接收响应的最大秒数。如果时间到期后未收到响应,则构建将失败。

例子

默认:120

JSON形式的输出问题(详细模式) - (仅用于Burp扫描)
描述

默认情况下,当您在控制台输出中查看扫描结果时,只有严重性/置信度,问题类型以及显示问题的URL。但是,当启用详细模式时,完整的问题详细信息将以JSON格式显示。

例子

默认值:禁用

自签名的TLS证书(公共部分)
描述

如果您通常访问bepaly下载软件 通过HTTPS(在网络设置中启用了“使用TLS”选项),您使用自签名的TLS证书,在此处上传证书的公共部分。这必须采用x504 base64编码格式,通常在.pem文件。

扫描报告文件
描述

要保存HTML扫描报告的位置和文件名。如果空,则不会生成扫描报告。

例子
$ workspace/scan-report.html

扫描报告类型
描述

您要在扫描报告中包括的细节级别。您可以选择摘要报告或详细报告。

例子

默认值:详细

使用通用CI/CD驱动程序配置可选设置

要配置可选设置时,使用通用CI/CD驱动程序时,您可以附加命令,该命令触发使用相应参数的扫描。有关更多信息,请参考参数参考指导。

从CI/CD系统中覆盖默认扫描配置

如果“打burp扫描”与现有站点匹配,则使用此站点的默认扫描配置。如果扫描无法与网站匹配,bepaly下载 而是使用默认配置。但是,您可以通过覆盖扫描定义来手动从CI/CD系统中控制扫描配置。

为此,您首先需要以与REST API相同的JSON格式生成新的扫描定义。

笔记

这种方法主要是使用“ Burp Scan”选项的旧版集成的解决方法。使用站点驱动的扫描要容易得多,因为这允许您使用Burp Suite Enterprise Edition Web UI设置所需的扫描配置。beplay体育能用吗有关更多信息,请参阅集成类型

  1. 在浏览器中,转到生成API用户后保存的API链接。默认情况下,这应该是:

    https://your-enterprise-server.com:8080/api/your-api-key
  2. 单击条目帖子 /扫描端点。对话框打开包含扫描定义工具包的对话。
  3. 使用各种输入字段来设置所需的定义。您需要至少输入一个目标网址,扫描名称和范围。如果该站点的整个域都处于范围内,只需创建一个包含站点顶级URL的范围条目即可。请注意,如果您希望将扫描与现有站点匹配,则应保留站点匹配规则在输入这些URL时牢记。
  4. 添加您要使用的扫描配置:
    • 要使用Burp Suite Enterprise Edition的内置扫描配置,请选择名为configuration选项并输入相关配置名称,例如审核检查 - 光线活动。您需要为要包含的每种扫描配置创建一个新数组项。
    • 或者,要使用自定义扫描配置,请选择定制配置选项并输入要以JSON格式应用的设置。最简单的方法是创建要使用的配置Burp Suite专业人士或社区版,将它们导出,然后将最终的JSON复制并粘贴到该领域。

  5. 当您更改各种输入字段时,该工具包会在屏幕底部自动生成相应的卷曲命令。例如:

    curl -vgw“ \ n” -x post'http:// your-enterprise-server:8080/api/your-api-key/v0.1/scan'-d'-d'-d'-d'{“ name” example“:”示例,“”scan_configurations”:[{“ name”:“审核检查 - 浅色活动”,“ type”:“ nessconfiguration”}],“ urls”:[https://example.com/]}'}'
  6. 当您对设置满意时,请复制curl命令的JSON部分。这是单个引号之间的一切-d
  7. 作为管理员登录到您的CI/CD平台。
  8. 如果您使用的是Jenkins或Teamcity插件:
    • 打开管道并编辑打bur扫描构建步骤。
    • 在下面JSON格式的扫描定义,粘贴您从REST API工具包中复制的JSON。
  9. 如果您正在使用通用CI驱动程序:
    • 将复制的定义保存在单独的JSON文件中,并附加使用参数调用扫描的命令- 扫描定义=您的fefinition.json
    • 将更改保存到构建步骤。下次扫描是由您的管道触发的时,将使用新的扫描定义。

忽略问题

使用“ Burp Scan”时,您可以配置规则,这些规则可以告诉扫描忽略某些问题或忽略特定路径上的所有问题。

您可以通过将忽略规则添加到输出的构建步骤中来做到这一点burp_scan_url如下:

echo burp_scan_url = http://your-target-site.com echo burp_scan_ignore_exact =(高,某些) - 名称 @ http://your-target-site.com/example/echo burp_scan_ignore_ignore_ignore_glob =(high,ligh) @ name @ name @ name @ name @http://your-target-site.com/* echo burp_scan_ignore_regex = \ \(高,某些\) - 。+ @ http://your-target-site.com(1 | 2)/。

例如,忽略路径中的所有问题http://your-target-site.com/example/,您将包括以下命令:

echo burp_scan_ignore_glob = * @ http://your-target-site.com/example/

请注意,您可能需要逃脱特殊角色,例如括号。