Fortify WebInspect

Automation

WebInspect automation workflows

WebInspect automation workflows use build automation tools to manage the dynamic scanning ecosystem, including QA testing and cloud deployments. 

Dynamic analysis (DAST), combined with static analysis (SAST), provides more thorough coverage, but automating dynamic is more complex. You can either build your own tech stack, or borrow a framework. This guide helps you accelerate your automation by using existing test automation scripts/frameworks that other enterprises have already created as part of their DevOps practices.

Согласование процесса динамического тестирования безопасности приложения (DASTO)

Согласование процесса динамического тестирования безопасности приложений (DASTO) с инструментом WebBreaker на GitHub. Этот проект с открытым кодом для интеграции в технологический процесс SDLC, рабочие процессы Git и т. д. использует WebInspect, так как этот инструмент обеспечивает большую степень гибкости.

  1. Главная страница WebBreaker
  2. WebBreaker на GitHub
  3. Библиотека API WebInspect Python
  4. Библиотека API Fortify SSC Python
Подключаемый модуль Maven для автоматизации WebInspect

Подключаемый модуль Maven, разработанный Руудом Сенденом (Ruud Senden) и Fortify для WebInspect и WebInspect Enterprise, позволяет пользователям автоматически выполнять сборку приложений, внедрять образцы тестов и проводить интеграционное тестирование. Интегрируйте следующий сценарий в технологический процесс CI/CD:

  1. реализуйте прокси WebInspect;
  2. перенаправляйте через прокси трафик от интеграционных тестов;
  3. сохраняйте трафик через прокси в виде макроса рабочего процесса (после чего работу прокси можно завершить);
  4. настройте параметры нового сканирования на основании такого рабочего процесса; запускайте сканирование с помощью WebInspect или WebInspect Enterprise.
WebInspect Automation – General workflow
Автоматизация с WebInspect — общий рабочий процесс

В рабочем процессе автоматизации используется инструмент автоматизации сборок, управляющий экосистемой сканирования в следующем порядке:

  1. Специалисты по безопасности определяют этапы сканирования на предмет безопасности в виде «задания по контролю безопасности», которое вызывается после сборки и развертывания приложения с помощью инструмента автоматизации сборок.
  2. Разработчики вносят изменения в код для автоматизации сборки, а по истечении утвержденного периода после сборки и развертывания приложения запускается задание по контролю безопасности.
  3. После выполнения задания по контролю безопасности инструмент автоматизации в соответствии с настройками и установленным специалистами по безопасности уровнем риска успешно выполняет задачу по сборке или не выполняет ее.
  4. Результаты поиска уязвимостей передаются в Fortify Software Security Center (SSC), где они могут быть переданы в репозитории неполадок через соответствующие элементы интеграционной конфигурации SSC.

Базовая задача по обеспечению безопасности — WebInspect

Head ?
Шаг 1
Проверка работоспособности с использованием датчика WebInspect позволяет обеспечить доступность сканера для планирования операций сканирования.
face to face
Шаг 2
Для запуска сканирования установите связь с WebInspect REST API/ или командной строкой. Необходимо будет ввести соответствующий URL-адрес, файл настроек и данные для входа. 1. Ссылка на WI API: http://hostname:port/webinspect/swagger/ui/index#/
Certificate 1
Шаг 3
Опрос датчика для определения статуса сканирования и перехода к следующим этапам завершения сканирования.
Thumb up
Шаг 4
По завершении сканирования можно экспортировать результаты в виде FPR на сервер, на котором находится клиентская программа Fortify, и перенести в SSC через программу Fortify. 1. Документация о клиентской программе находится в руководстве по установке и настройке централизованного хранилища данных о тестировании безопасности приложений Software Security Center.
Базовая задача для обеспечения безопасности — WebInspect Enterprise

WIE упрощает эту задачу, управляя расписанием работы датчиков и опрашивая их на предмет доступности. Кроме того, WebInspect Enterprise автоматически передает результаты в Fortify Software Security Center.

  1. Для планирования сканирования установите связь с API сервера WebInspect Enterprise и укажите URL-адрес и данные файла или шаблона настроек.
Proxy and QA Automation
Прокси и автоматизация контроля качества

Для автоматизации могут использоваться элементы, сгенерированные при проведении функционального тестирования для оценки качества (например, скрипты Selenium для автоматизации сканирования WI/WIE). Преимущества такого подхода:

  1. В процедуру функционального тестирования часто входит последовательность действий, связанных с бизнес-логикой, которые невозможно смоделировать с помощью слепого автоматического сканирования с использованием WebInspect.
  2. Возможность при функциональном тестировании использовать процедуру входа в систему и не создавать макрос входа в систему WebInspect. Это подразумевает, помимо прочего, настройку конфигурации, позволяющую исключить страницу входа в систему из процедуры сканирования и проверки WI, а также возможность не выходить из системы при сканировании системы безопасности.

Безопасность систем контроля качества — WebInspect

К базовой задаче по обеспечению безопасности добавьте следующие этапы — WebInspect:

Screen gear
Шаг 1 — WebInspect
Запуск прокси WI через REST API и воспроизведение записанных результатов контроля качества для создания файла данных трафика. Файл трафика сохраняется в формате платформы WebMacro.
Screen code
Шаг 2 — WebInspect
Использование командной строки или REST API для изменения файла настроек по умолчанию. Файл настроек переопределяется рабочим макросом, сохраненным во время шага 1 из файла трафика.

Безопасность систем контроля качества — WebInspect Enterprise

Дополнительные этапы — аналогично процедуре для WebInspect.

News 1
Шаг 1 — WebInspect Enterprise
Пользователи, у которых нет доступа к рабочему столу WI для запуска прокси, могут загрузить не требующую лицензии копию прокси, доступной на рынке.
Storage gear
Шаг 2 — WebInspect Enterprise
После создания файла настроек процесс инициации сканирования для WIE делится на несколько подэтапов. Пользователь должен ознакомиться с Руководством по созданию задачи сканирования WIE REST, выпущенным в апреле 2017 г.
Automation in the Cloud
Автоматизация в облачных средах

Еще один пример применения — автоматизация в облачных средах за счет развертывания датчиков для WI и WIE и динамического масштабирования установки датчиков в соответствии с масштабом процесса тестирования безопасности приложений.

  1. Специалисты по безопасности оценивают процесс обработки запросов на сканирование и оценивают масштабирование датчиков N. На основании этих требований проводится назначение лицензий.
  2. Специалисты по безопасности используют общий рабочий процесс, описанный в рабочей документации, циклично выполняя шаги 1 и 2.

Безопасность облачной инфраструктуры — масштабирование для датчиков WebInspect

Cloud secure
Шаг 1
Файлы установки MSI WebInspect хранятся в облачном хранилище и готовы к использованию. [call location: cloud_memory]
face to face
Шаг 2
Специалисты по безопасности используют облачный API для создания записи Windows и командную строку записи (C_Instance) для установки датчика WebInspect без визуализации из: cloud_memory
Block based replication
Шаг 3
Необходимые настройки и макрофайлы развертываются за один заход
Thumb up
Шаг 4
Сканирование запускается с помощью командной строки (C_Instance) с использованием соответствующих REST API WebInspect. По завершении сканирования можно экспортировать результаты в виде FPR на сервер, на котором находится клиентская программа Fortify, и перенести в SSC через программу Fortify.

Безопасность облачной инфраструктуры — масштабирование для датчиков WebInspect

Cloud gear
Шаг 1
Для подключения датчика к уровню управления сервером WIE и настройки его конфигурации и назначить определенные разрешения на доступ к датчику необходимо выполнить дополнительные действия. Файлы установки MSI WebInspect хранятся в облачном хранилище и готовы к использованию.
Screen gear
Шаг 2
Специалисты по безопасности используют облачный API для создания записи Windows и командную строку записи (C_Instance) для установки датчика WIE без визуализации.
Screen code
Шаг 3
С помощью командной строки : C_Instance осуществляется настройка конфигурации датчика для соединения с сервером управления WIE. Вызовите REST API уровня управления сервером WIE для выдачи разрешений и безопасного группового доступа к датчику WIE.
Time forward
Шаг 4
После того как установка датчика WIE будет завершена, установите связь с API сервера WIE для планирования операций сканирования с помощью URL-адреса и информации о файле/шаблоне настроек. По завершении сканирования результаты можно синхронизировать с SSC.
Отказ от ответственности

Данная информация предоставляется для популяризации в обществе некоторых принципов автоматизации процессов. Эта информация представляет собой общие инструкции и не относится к какому-либо конкретному решению. Содержимое данной страницы может выходить за пределы зоны ответственности контроля службы оценки качества и технической поддержки Fortify.

release-rel-2019-6-1-2130 | Tue Jun 11 14:13:41 PDT 2019
2130
release/rel-2019-6-1-2130
Tue Jun 11 14:13:41 PDT 2019