Fortify WebInspect

Automation

WebInspect automation workflows

WebInspect automation workflows use build automation tools to manage the dynamic scanning ecosystem, including QA testing and cloud deployments. 

Dynamic analysis (DAST), combined with static analysis (SAST), provides more thorough coverage, but automating dynamic is more complex. You can either build your own tech stack, or borrow a framework. This guide helps you accelerate your automation by using existing test automation scripts/frameworks that other enterprises have already created as part of their DevOps practices.

Custodela의 AppSec 통합

기존 DevOps 시스템과 프로세스에 WebInspect를 자동화함으로써 보안 테스트를 동시에 대규모로 실행할 수 있습니다.

CustodelaWatch Ken McDonald가 WebInspect 자동화를 위한 AppSec 통합 접근 방식을 소개합니다.

DASTO(Dynamic Application Security Test Orchestration)

Target은 GitHub의 WebBreaker 도구로 DASTO(Dynamic Application Security Test Orchestration)를 해결합니다. 이 오픈 소스 프로젝트는 WebInspect를 활용하여 SDLC 파이프라인, Git 워크플로우 등에 대한 향상된 통찰력을 제공할 수 있는 우수한 민첩성과 유연성을 지원합니다.

  1. WebBreaker 기본 페이지
  2. GitHub의 WebBreaker
  3. WebInspect Python API 라이브러리
  4. Fortify SSC Python API 라이브러리
WebInspect 자동화를 위한 전문가 플러그인

Ruud Senden이 Fortify for WebInspect 및 WebInspect Enterprise로 개발한 전문가 플러그인을 사용하면 애플리케이션 구축, 테스트 인스턴스 배포 및 통합 테스트 실행을 자동으로 처리할 수 있습니다. CI/CD 파이프라인에 다음 시나리오를 통합할 수 있습니다.

  1. WebInspect 프록시 인스턴스화
  2. 이 프록시를 통한 통합 테스트 트래픽 경로 지정
  3. 프록시 트래픽을 워크플로우 매크로로 저장(및 프록시 종료)
  4. 이 워크플로우 매크로를 기반으로 새 스캔 구성 WebInspect 또는 WebInspect Enterprise에서 이 스캔 실행
WebInspect Automation – General workflow
WebInspect Automation – 일반 워크플로우

Automation 워크플로우는 다음 단계를 통해 스캔 에코시스템을 관리하는 구축 자동화 도구를 사용합니다.

  1. 보안팀은 보안 스캔 단계를 빌드 후, 또한 앱 배포 후 빌드 자동화 도구를 통해 호출되는 "보안 작업"으로 설정합니다.
  2. 개발팀은 빌드 자동화 도구의 코드 변경사항을 제출하며 설정된 작동 기간 후에는 빌드 및 앱 배포가 완료된 후 보안 작업이 트리거됩니다.
  3. 보안 작업이 완료되면 자동화 도구가 보안팀이 정의한 보안 위험을 기반으로 빌드 작업을 통과 또는 거절하도록 설정됩니다.
  4. 보안 취약성 결과는 Fortify Software Security Center(SSC)에서 캡처되며 여기서 SSC에서 지원되는 통합을 통해 선택적으로 버그 리포지토리로 이동할 수 있습니다.

기본 보안 작업 – WebInspect

Head ?
1단계
WebInspect 센서의 상태를 점검하여 스캐너가 스캔 예약이 가능한 상태인지 확인합니다.
face to face
2단계
WebInspect REST API 또는 명령줄을 호출하여 스캔을 시작합니다. 여기에는 필요한 URL, 설정 파일 및 로그인 정보를 전달하는 작업이 포함됩니다. 1. WI API 참조: http://hostname:port/webinspect/swagger/ui/index#/
Certificate 1
3단계
센서 폴링으로 스캔 상태를 점검하고 스캔 완료 시 다음 단계를 트리거합니다.
Thumb up
4단계
스캔이 완료되면 결과를 Fortify Client가 있는 서버에 FPR로서 내보내고 Fortify Client를 통해 SSC에 업로드합니다. 1. Fortify Client 문서는 Fortify Software Security Center(SSC) 설치 및 구성 가이드를 참조하십시오.
기본 보안 작업 – WebInspect Enterprise

WIE가 일정과 폴링을 관리하여 센서 가용성을 식별한다는 점에서 더 간단합니다. WebInspect Enterprise는 또한 Fortify Software Security Center에 결과를 자동으로 공개합니다.

  1. WebInspect Enterprise 서버 API를 호출하여 URL 및 설정 파일/템플릿 정보로 스캔을 예약합니다.
Proxy and QA Automation
프록시 및 QA 자동화

자동화는 QA 기능 테스트에서 생성되는 아티팩트를 활용할 수 있습니다(예를 들어 WI/WIE 스캔을 자동화하는 Selenium 스크립트). 이 접근 방식의 이점은 다음과 같습니다.

  1. 기능 테스트에는 비즈니스 로직과 연관이 있지만 블라인드 WebInspect 자동 크롤링에서 모델링할 수 없는 일련의 조치가 포함되는 경우가 많습니다.
  2. 기능 테스트 과정에서 사용되는 로그인 시퀀스를 활용하고 별도 WebInspect Login Macro를 생성하지 않을 수 있는 가능성. 여기에는 WI 크롤 또는 감사에서 로그인 페이지를 제외하고 보안 스캔 과정에서 로그아웃이 발생하지 않도록 설정을 구성하는 작업이 포함됩니다.

QA 보안 작업 – WebInspect

기본 보안 작업에 다음 단계 추가 — WebInspect:

Screen gear
1단계 - WebInspect
REST API를 통한 WI 프록시 가동 및 구성된 QA 아티팩트 재생으로 트래픽 파일 생성. 트래픽 파일은 WebMacro로 저장됩니다.
Screen code
2단계 - WebInspect
명령줄 인터페이스/REST AP를 사용하여 기본 설정 파일 수정. 설정 파일은 1단계에서 트래픽 파일에서 저장된 워크플로우 매크로로 대체됩니다.

QA 보안 작업 – WebInspect Enterprise

WebInspect와 동일한 추가 단계.

News 1
1단계 – WebInspect Enterprise
프록시를 가동하기 위해 WI 데스크탑에 액세스할 수 없는 고객은 마켓플레이스에서 제공되는 라이선스가 필요하지 않은 프록시 인스턴스를 다운로드하십시오.
Doc find
2단계 – WebInspect Enterprise
설정 파일을 생성한 후 WIE 스캔을 시작하는 프로세스에 추가 단계가 필요합니다. 사용자는 WIE REST 스캔 생성 가이드(2017년 4월)를 참조해야 합니다.
Automation in the Cloud
클라우드에서의 자동화

또 다른 사용 사례는 WI 및 WIE용 센서를 배치하고 프로세스 대상 애플리케이션 보안 테스트 규모 정도로 센서 설치를 동적 확장하는 클라우드에서의 자동화입니다.

  1. 보안팀은 스캔 요청 파이프라인에 접근하여 N개 센서의 스케일/디스케일을 결정합니다. 또한 이 요청을 기반으로 라이선스를 배정합니다.
  2. 보안팀은 일반 워크플로우에 기술된 일반 워크플로우를 사용하고 1단계와 2단계를 반복합니다.

클라우드 보안 작업 – WebInspect 센서를 위한 확장

Cloud secure
1단계
WebInspect 설치 MSI가 클라우드 스토리지에 저장되어 배포할 수 있습니다. [call location: cloud_memory]
face to face
2단계
보안 팀이 클라우드 API를 호출하여 Windows 인스턴스를 생성하고 인스턴스의 명령줄(C_Instance)을 사용하여 cloud_memory 위치에서 WebInspect 센서의 헤드리스 설치를 수행합니다.
Consolidate
3단계
필요한 설정과 매크로 파일이 인스턴스 전체에 배포됩니다
Thumb up
4단계
해당 인스턴스에서 WebInspect의 REST API를 사용하여 명령줄(C_Instance)에서 스캔이 트리거됩니다. 스캔이 완료되면 결과를 Fortify Client가 있는 서버에 FPR로서 내보내고 Fortify Client를 통해 SSC에 업로드합니다.

클라우드 보안 작업 – WebInspect Enterprise 센서를 위한 확장

Cloud gear
1단계
센서를 연결하고 센서가 WIE Server 관리 계층에 연결되도록 구성하며 센서에 대해 필요한 액세스 권한을 지정하기 위한 추가 단계가 필요합니다. WebInspect 설치 MSI가 클라우드 스토리지에 저장되어 배포할 수 있습니다.
Screen gear
2단계
보안 팀이 클라우드 API를 호출하여 Windows 인스턴스를 생성하고 인스턴스의 명령줄(C_Instance)을 사용하여 위치에서 WIE 센서의 헤드리스 설치를 수행합니다.
Screen code
3단계
명령줄(C_Instance)을 사용하면 센서가 WIE 관리 서버에 연결되도록 구성됩니다. WIE 서버 관리 계층의 REST API를 호출하여 WIE 센서에 권한 및 보안 그룹 액세스를 제공합니다.
Time forward
4단계
WIE 센서 설치가 완료되면 WIE 서버 API를 호출하여 URL 및 설정 파일/템플릿 정보로 스캔을 예약합니다. 스캔이 완료되면 결과가 자동으로 SSC에 동기화됩니다.
면책 조항

이 정보는 자동화에 대한 접근 방식을 공유하기 위한 커뮤니티 노력의 일환으로 제공됩니다. 이 정보는 안내를 위한 목적으로 제공되며 특정 솔루션을 보증하지 않습니다. 이 페이지의 내용에 대한 Fortify QA 및 지원은 제공되지 않을 수 있습니다.

release-rel-2018-12-1-1408 | Sun Dec 9 19:30:12 PST 2018
1408
release/rel-2018-12-1-1408
Sun Dec 9 19:30:12 PST 2018