企业

使用通用CI/CD驱动程序配置BURP扫描

  • 最近更新时间:2022年5月17日

  • 阅读时间:3分钟

在本节中,我们将提供有关如何配置A的分步说明打bur扫描使用我们的通用CI/CD司机。

先决条件

将构建步骤添加到管道中

驾驶员接受扫描的URL作为标准输入(斯丁)格式burp_scan_url = https://application-to-scan.com。您可以以任何方式生成一个URL列表,只要输出以这种格式传递给驱动程序。出于本指南的目的,我们假设您在首选的CI/CD平台上以先前的构建步骤输出URL。

  1. 在您喜欢的CI/CD平台上,打开要合并一个的管道漏洞扫描。另外,如果您只想测试集成过程,则创建一个新的自由泳项目。
  2. 如果要扫描已经配置的现有网站bepaly下载软件 ,请确保您的管道将此应用程序部署到同一URL。另外,如果您不希望将扫描与现有站点匹配,请确保将应用程序部署到唯一的URL。
  3. 设置您的管道,以便它可以从我们的beplay体育能用吗网站以及适合运行罐子的JRE。供参考,使用Java 9构建驱动程序。
  4. 添加“执行shell”或“执行Windows batch命令”构建步骤,然后输入以下命令:

    echo burp_scan_url = https://application-to-scan.com

    此步骤将在其构建日志中以正确格式输出目标URL,以便驱动程序在下一步中处理。如果您有一个更具动态的部署过程,例如,到Docker容器,则应多次重复此命令以输出每个相关的URL。所有这些都将进行汇总和扫描。

  5. 添加另一个新的“执行shell”或“执行Windows batch命令”构建步骤。输入一个命令,该命令将以适当的参数运行您要触发的扫描的参数。要进行打bur扫描,您必须包括:

    • 您较早创建API用户时复制的API URL。
    • 如果要下载扫描报告,则还必须为您之前创建的API用户提供API密钥。你应该通过-apike范围。这是推荐的方法。另外,您可以在API URL中包含API键,如下所示:

      https:// your-enterprise-server:8080/api/your-api-key

      但是,这意味着您将无法下载扫描报告,并且主要是为使用驱动程序的旧版本配置的旧版集成提供持续的支持。

    然后,您可以添加可选参数以控制不同的设置,例如扫描结果如何影响您的构建。典型的命令可能看起来像这样:

    java -jar路径/to/ci-driver.jar https:// your-enterprise-server:8080 -api-key = secret -site-id = 7 -min-severity = high-min-conconidence =某些 - report-file = scan-report.html -report-type =摘要
  6. 保存管道。

笔记

有关可用参数及其控制的设置的详细信息,请参考我们参数参考指南或使用- 帮助选项。

测试您的集成

完成配置构建步骤后,最好检查集成是否正常工作并且您的扫描能够成功运行。

  1. 按需启动构建并查看控制台输出。您应该看到扫描初始化并开始爬行。在整个扫描过程中,您可以通过监视构建的控制台输出来检查状态。发现的问题也将输出到控制台。
  2. 在Burp Suite Enterprise Edition中,转到您的网站并打开扫描标签。您应该在列表中看到建筑启动的扫描。