企业

在Jenkins配置Burp扫描

• 最近更新时间：2022年5月9日

• 阅读时间：3分钟

配置打bur扫描在詹金斯（Jenkins）中，与以前版本的过程大致相同bepaly下载软件 。在本节中，我们将为完整的配置过程提供分步说明。

先决条件

• 您的机器上安装了Java 11。
• 您正在使用Jenkins 2.164.1或更高
• 你有创建了API用户在bepaly下载软件 并可以访问相应的API密钥
• 你有安装了插件在詹金斯。
• 您已经熟悉Burp Suite Enterprise Edition的站点匹配规则。

在詹金斯创建Burp扫描构建步骤

以下步骤是将Jenkins与Burp Suite Enterprise Edition集成的最低配置要求。

1. 登录詹金斯。
2. 打开要合并的管道漏洞扫描。另外，如果您只想测试集成过程，则创建一个新的自由泳项目。
3. 如果您想扫描您在Burp Suite Enterprise Edition中已经配置的现有站点，请确保您的管道将此应用程序部署到同一URL。另外，如果您不希望将扫描与现有站点匹配，请确保将应用程序部署到唯一的URL。

4. 添加任一执行外壳或者执行Windows Batch命令构建步骤。在“命令”字段中，输入一个命令，该命令将呼应要扫描的运行应用程序的顶级URL并将其分配给变量burp_scan_url如下：

   echo burp_scan_url = https://application-to-scan.com

   此步骤将在其构建日志中以正确格式输出目标URL，以便插件在下一步中处理。如果您有一个更具动态的部署过程，例如，到Docker容器，则应多次重复此命令以输出每个相关的URL。所有这些都将进行汇总和扫描。

5. 添加另一个新的构建步骤，但是这次选择类型打bur扫描。
6. 输入您的Burp Suite Enterprise Edition REST API端点的URL。这是您较早创建API用户后复制的URL。确保您包括适当的协议和端口。

   • 如果您想能够下载扫描报告，请按以下网址从此URL中排除API键，然后在下面的专用字段中输入API键。这是推荐的方法。

     URL：https：// your-enterprise-server：8080 API键：your-api-key

   • 如果您不想下载扫描报告，则可以在URL中包含API。在这种情况下，您应该将API键字段留空。我们不建议这种方法，因为它主要是为了在调整输入字段之前对遗产集成提供持续的支持。

     URL：https：// your-enterprise-server：8080/api/your-api-key API键：[空白]
7. 调整各种可选设置微调扫描及其结果将如何影响您的构建。对于“ Burp扫描”，您还可以选择：
   • 上传自定义扫描定义以自定义一次扫描的扫描配置或覆盖默认配置对于匹配的网站。
   • 定义规则忽略问题。这对于为“打bur扫描”设置误报很有用。
     请注意，此选项不适合“站点驱动扫描”，因为它们从其在Burp Suite Enterprise Edition中继承了相关站点的假阳性规则。
8. 保存管道。

测试您的集成

完成配置构建步骤后，最好检查集成是否正常工作并且您的扫描能够成功运行。

1. 按需启动构建，并查看詹金斯的控制台输出。您应该看到扫描初始化并开始爬行。在整个扫描过程中，您可以通过监视构建的控制台输出来检查状态。发现的问题也将输出到控制台。
2. 在Burp Suite Enterprise Edition中，转到您的网站并打开扫描标签。您应该在列表中看到詹金斯发起的扫描。