2022-07-02-06-07-03-devops-i-tanie-cyberbezpieczenstwo-arachni-docker-i-jira.png

Devops i tanie cyberbezpieczeństwo - Arachni, Docker i Jira

Arachni to w naszej opinii jedno z najlepszych rozwiązań do przeprowadzania dynamicznego skanowania kodu. Dzisiaj chcemy Ci pokazać, że proces Secure Software Development Lifecycle nie musi kosztować milionów.

Nasz blog może się rozwijać dzięki naszym sponsorom. Nasz kurs dockera powstał dzięki współpracy z chmurami Vultr i tam dokładnie został przetestowany. Nasz szablon pochodzi z Envato MarketPlace. Wszystkie pluginy i elementy stron internetowych, jakie opisujemy, pochodzą z Envato Elements. Wszystkie książki, opisane na tym blogu, są dostepne u wydawcy Helion. Jesteśmy także partnerem Respondent.io, platformy, która płaci za testowanie aplikacji.

W tym poście podzielę się z Wami, w jaki sposób nasze zespoły wdrażają automatyczne skanowanie podatności dla naszych aplikacji internetowych za pomocą Arachni i integrują je z naszym potoku Continuous Delivery.

W tym przykładzie pokażemy, jak możemy to zrobić za pomocą serwera Jenkins, ale teoretycznie wystarczy dowolny serwer CI, który może obsługiwać kontenery Dockera.

Dlaczego Docker

Docker umożliwia bezpieczne uruchamianie aplikacji na hoście w izolowanych kontenerach bez martwienia się o konfigurację aplikacji.

Dodatkowo posiadamy naprawdę świetny kurs Dockera tylko teraz w cenie 249 złotych od kopii. Zapraszam do zakupu.

Czym jest Arachni

Jeśli nigdy wcześniej nie słyszałeś o Arachni, jest to framework skanera bezpieczeństwa aplikacji internetowych, który ma zestaw narzędzi do zabawy, w tym interfejs internetowy.

O Arachni możesz się więcej dowiedzieć tutaj.

Jeśli chcesz poszukać i zobaczyć, co robi z perspektywy wysokiego poziomu, możesz łatwo uruchomić kontener, uruchamiając to polecenie:

docker run -d --name arachni -p 9292:9292 ahannigan/docker-arachni bin/arachni_web -o 0.0.0.0

Uwaga, domyślna nazwa użytkownika i hasło to: admin@admin.admin / administrator

Odwiedzenie http://localhost:9292 powinno doprowadzić do interfejsu użytkownika Arachni, gdzie można przeczytać https://github.com/Arachni/arachni-ui-web/wiki, aby uzyskać więcej informacji

Integrujemy Arachni z Jenkinsem

Ale w naszym przypadku CI nie będziemy w ogóle uruchamiać frontendu internetowego; zamiast tego będziemy zgłaszać problemy do Jira, wyodrębniając dane wyjściowe JSON z uruchamiania Arachni z wiersza poleceń.

I w zasadzie możemy umieścić to w naszym pliku Jenkinsfile:

  stage('Arachni') {
    sh '''
        mkdir -p $PWD/reports $PWD/artifacts;
        docker run \
            -v $PWD/reports:/arachni/reports ahannigan/docker-arachni \
            bin/arachni http://staging.example.io --report-save-path=reports/example.io.afr;
        docker run --name=arachni_report  \
            -v $PWD/reports:/arachni/reports ahannigan/docker-arachni \
            bin/arachni_reporter reports/example.io.afr --reporter=html:outfile=reports/example-io-report.html.zip;
        docker cp arachni_report:/arachni/reports/example-io-report.html.zip $PWD/artifacts;
        docker rm arachni_report;
    '''
    archiveArtifacts artifacts: 'artifacts/**', fingerprint: true
  }

Najpierw tworzymy katalog do zamontowania w naszych kontenerach. Następnie przeprowadzamy skan i zabezpieczamy szczegóły. Na koniec generujemy raport HTML dostępny dla naszych artefaktów, aby każdy, kto ma dostęp do pulpitu nawigacyjnego Jenkins, mógł wyświetlić raport.>

Możemy również wygenerować raport JSON i obsłużyć niestandardowy program, aby wykonać pewne czynności, takie jak synchronizacja problemów między systemami zarządzania projektami, ale zachowam to na następny raz.

Udostępnij

Porozmawiajmy o Twoich potrzebach

POROZMAWIAJMY O USŁUGACH, JAKICH POTRZEBUJESZ DLA SWOJEGO BIZNESU

Z chęcia pomożemy Ci wzrastać w wybranym przez Ciebie biznesie.