Fortify WebInspect

Automation

WebInspect automation workflows

WebInspect automation workflows use build automation tools to manage the dynamic scanning ecosystem, including QA testing and cloud deployments. 

Dynamic analysis (DAST), combined with static analysis (SAST), provides more thorough coverage, but automating dynamic is more complex. You can either build your own tech stack, or borrow a framework. This guide helps you accelerate your automation by using existing test automation scripts/frameworks that other enterprises have already created as part of their DevOps practices.

Seguridad de aplicaciones predefinida con Custodela

Automatizar WebInspect en los sistemas y procesos de DevOps ya existentes permite ejecutar pruebas de seguridad simultáneamente y a escala.

Vea a Ken McDonald de Custodela presentar una estrategia de seguridad de aplicaciones predefinida para automatizar WebInspect:

Orquestación de pruebas de seguridad de aplicaciones dinámicas (DASTO)

Target resuelve la orquestación de pruebas de seguridad de aplicaciones dinámicas (DASTO, Dynamic Application Security Test Orchestration) con la herramienta WebBreaker en GitHub. Este proyecto de código abierto utiliza WebInspect para proporcionar más agilidad y flexibilidad y ofrecer una integración mejorada en el proceso de SDLC, los flujos de trabajo de Git, etc.

  1. Página principal de WebBreaker
  2. WebBreaker en GitHub
  3. Biblioteca de API de Python de WebInspect
  4. Biblioteca de API de Python de Fortify SSC
Complemento Maven para la automatización de WebInspect

El complemento Maven desarrollado por Ruud Senden con Fortify para WebInspect y WebInspect Enterprise permite a los usuarios compilar aplicaciones, implementar instancias de prueba y ejecutar pruebas de integración de forma automática. Integre el siguiente escenario en el proceso de CI/CD:

  1. Cree una instancia de un proxy de WebInspect
  2. Direccione el tráfico de las pruebas de integración a través de este proxy
  3. Guarde el tráfico del proxy como macro de flujo de trabajo (y desactive el proxy)
  4. Configure una nueva exploración basada en esta macro de flujo de trabajo Ejecute esta exploración en WebInspect o en WebInspect Enterprise
WebInspect Automation – General workflow
Automatización con WebInspect: flujo de trabajo general

Los flujos de trabajo de automatización usan una herramienta de automatización de compilaciones que gestiona el ecosistema de exploración por medio de los siguientes pasos:

  1. El equipo de seguridad configura los pasos de exploración de seguridad como una “tarea de seguridad” que se invoca tras una compilación y tras la implementación de una aplicación por medio de la herramienta de automatización de compilaciones.
  2. Los equipos de desarrollo envían los cambios del código a la herramienta de automatización de compilaciones y, tras el periodo operativo definido, la tarea de seguridad se activa, una vez que la compilación y la implementación de la aplicación se han completado.
  3. Cuando se completa la tarea de seguridad, la herramienta de automatización se configura para aprobar o suspender el trabajo de compilación en función del riesgo de seguridad definido por el equipo de seguridad.
  4. Los hallazgos de vulnerabilidades de la seguridad se capturan en Fortify Software Security Center (SSC), desde donde se pueden mover opcionalmente a los repositorios de errores por medio de las integraciones disponibles en SSC.

Tarea de seguridad básica – WebInspect

Head ?
Paso 1
Compruebe el estado del sensor de WebInspect para asegurarse de que el escáner está disponible para programar una exploración.
face to face
Paso 2
Llame a la API REST o la línea de comandos de WebInspect para iniciar una exploración. Esto exige suministrar la dirección URL necesaria, el archivo de configuración y la información de inicio de sesión. 1. Referencia de API de WI: http://hostname:port/webinspect/swagger/ui/index#/
Certificate 1
Paso 3
Se sondea el sensor para comprobar el estado de la exploración y activar los pasos siguientes cuando esta se complete.
Thumb up
Paso 4
Al completar la exploración, exporte los resultados como un FPR a un servidor que contenga Fortify Client y cárguelos en SSC a través de Fortify Client. 1. Puede encontrar la documentación de Fortify Client en la guía de instalación y configuración de Fortify Software Security Center (SSC).
Tarea de seguridad básica – WebInspect Enterprise

Es más sencillo porque WIE gestiona la programación y los sondeos para identificar la disponibilidad de un sensor. WebInspect Enterprise también publica automáticamente los resultados en Fortify Software Security Center.

  1. Llame a la API de servidor de WebInspect Enterprise para programar una exploración con información de URL y de plantilla o archivo de configuración.
Proxy and QA Automation
Automatización de proxy y control de calidad

La automatización puede utilizar artefactos generados durante las pruebas funcionales de control de calidad (por ejemplo, scripts de Selenium para automatizar exploraciones de WI/WIE). Las ventajas de este método son:

  1. Las pruebas funcionales conllevan a menudo una secuencia de acciones que tienen asociada una lógica empresarial, mientras que es imposible crear un modelo a partir de un análisis automático ciego de WebInspect.
  2. La posibilidad de utilizar la secuencia de inicio de sesión durante las pruebas funcionales sin crear una macro de inicio de sesión de WebInspect independiente. Esto exige configurar los ajustes para excluir la página de inicio de sesión del análisis o la auditoría de WI y también que no se produzca un cierre de sesión durante la exploración de seguridad.

Tarea de seguridad de control de calidad – WebInspect

Agregue estos pasos a la tarea de seguridad básica – WebInspect:

Screen gear
Paso 1: WebInspect
Se configura un proxy de WI a través de una API REST y se reproduce el artefacto de control de calidad capturado para generar un archivo de tráfico. A continuación, el archivo de tráfico se guarda como macro web.
Screen code
Paso 2: WebInspect
Se usa la línea de comandos o la API REST para modificar el archivo de configuración predeterminado. El archivo de configuración se anula en una macro de flujo de trabajo guardada desde el archivo de tráfico en el paso 1.

Tarea de seguridad de control de calidad – WebInspect Enterprise

Los mismos pasos adicionales que en el caso de WebInspect.

News 1
Paso 1: WebInspect Enterprise
Los clientes que no tienen acceso al escritorio de WI para configurar un proxy pueden descargar una instancia sin licencia de un proxy disponible en el mercado.
Doc find
Paso 2: WebInspect Enterprise
Después de crear un archivo de configuración, el proceso de iniciar una exploración para WIE requiere algunos pasos adicionales. El usuario debe consultar la guía WIE REST Create Scan Guide de abril de 2017.
Automation in the Cloud
Automatización en la nube

Otro caso de uso es la automatización en la nube mediante la implementación de sensores para WI y WIE, y la ampliación o reducción dinámica de la instalación de los sensores en función de la escala de las pruebas de seguridad de aplicaciones que se están desarrollando.

  1. El equipo de seguridad accede a la cola de solicitudes de exploración y decide la ampliación o la reducción de N sensores. Las licencias se asignan en función de este requisito.
  2. Los equipos de seguridad usan el flujo de trabajo general descrito y a continuación ejecutan en bucle los pasos 1 y 2.

Tarea de seguridad de la nube: ajuste de la escala para los sensores de WebInspect

Cloud secure
Paso 1
Se almacena un MSI de instalación de WebInspect en el almacenamiento en la nube, listo para la implementación. [ubicación de la llamada: cloud_memory]
face to face
Paso 2
El equipo de seguridad llama a la API de la nube para crear una instancia de Windows y usa la línea de comandos de la instancia (C_Instance) para llevar a cabo una instalación sin interfaz gráfica del sensor de WebInspect desde la ubicación: cloud_memory.
Consolidate
Paso 3
Los archivos de macros y de configuración necesarios se implementan en la instancia
Thumb up
Paso 4
Una exploración se activa en la línea de comandos (C_Instance) usando las API REST de WebInspect en esa instancia. Al completar la exploración, exporte los resultados como un FPR a un servidor que contenga Fortify Client y cárguelos en SSC a través de Fortify Client.

Tarea de seguridad de la nube: ajuste de la escala para los sensores de WebInspect Enterprise

Cloud gear
Paso 1
Se requieren algunos pasos adicionales para conectar y configurar el sensor con el fin de conectar a la capa de gestión del servidor de WIE y asignar los permisos necesarios para acceder al sensor. Se almacena un MSI de instalación de WebInspect en el almacenamiento en la nube, listo para la implementación.
Screen gear
Paso 2
El equipo de seguridad llama a la API de la nube para crear una instancia de Windows y usa la línea de comandos de la instancia (C_Instance) para llevar a cabo una instalación sin interfaz gráfica del sensor de WIE desde la ubicación.
Screen code
Paso 3
Usando la línea de comandos: C_Instance, el sensor se configura para la conexión con el servidor de gestión de WIE. Invoque las API REST de la capa de gestión del servidor de WIE para proporcionar permisos y acceso de grupos de seguridad al sensor de WIE.
Time forward
Paso 4
Una vez que se haya completado la instalación del sensor de WIE, llame a la API del servidor de WIE para programar una exploración con información de plantilla/archivo de configuración y dirección URL. Al finalizar la exploración, los resultados se sincronizan automáticamente con SSC.
Exención de responsabilidad

Esta información se proporciona como parte de un esfuerzo de la comunidad por compartir estrategias de automatización. La información se proporciona a título orientativo y no supone un respaldo a ninguna solución concreta. Es posible que no haya control de calidad ni soporte de Fortify para el contenido de esta página.

release-rel-2018-12-1-1408 | Sun Dec 9 19:30:12 PST 2018
1408
release/rel-2018-12-1-1408
Sun Dec 9 19:30:12 PST 2018