在资安逐步被重视的年代,企业会导入更多资安相关工具,除了本身伺服器或网路层的工具外,近年也针对程式码进行安全性的扫瞄,目前其中市面上比较热门的工具之一就是HPE Fortify,他本身可扫描的程式码种类很多。在开发者端,可以透过Visual Studio的Plug in方式,安装在Visual Studio,如果你又有Fortify Center的登入权限,便可以从Center将资安团队设定好的规则下载下来,透过企业订好的资安政策去扫描自己的程式码,完毕之后,可以选择把报告上传到Center或是在本地自己观看,扫描后的结果,不过,这边我建议是上传到Center中,可读性会比较高,报表内容比较好看得懂
既然要走DevOps,当然除了在开发工具安装外,也会希望在CI时候,也可以把资讯安全检测的这一段给自动化,目前,VSTS可以透过外挂套件将Fortify整合进来,其套件名称为Micro Focus Fortify,在[点我] 来下载安装
安装Fortify
这边为什么要多安装Fortify这步骤,因为,虽然说套件可以帮忙做到自动化,但是它底层其实是必须先有Fortify核心,然后再透过PowerShell指令驱动它,然后进行程式码的静态扫描。今天如果是透过地端VSTS Agent来建置,建议是手动先把它安装好,虽然,这个Plug in有提供Fortify Static Code Analyzer Installation,其中有些设定必须要有Admin权限,所以为了省掉这中间的麻烦,还是先手动安装好
安装HPE Fortify SCA其实不难,主要在于必须设定里面的资讯。
第一步
找到HPE_Security_Fortify_SCA_and_Apps_17.10_windows_x64.exe进行安装,有买这产品的人,因该都会有这一个档案,不过,这一个版本目前不支援扫描ASP.NET Core,必须等到HPE_Security_Fortify_SCA_and_Apps_17.20_windows_x64.exe才可以针对ASP. NET Core扫描。另外,会自动帮你安装IDE的Plug in,不过,目前似乎不支援Visual Studio 2017版本,2017必须额外安装Plug in。
第二步
安装过程到了一半,会请你输入Software Security Center的URL,就看自己企业内部架设的Software Security Center网址填入进去就可以,SSC网址会类似这样: https://XXX.XX.XX.XX/ SSC,
到这边看似已经完成,不过,会建议先用Command方式测试是否可以上传fpr档案,如果,无法上传档案,就必须找出哪边出问题,不然,到时候VSTS也没有办法自动化完成上传档案,当然,如果不需要上传档案到SSC,就可以不用管它。如果遇到凭证问题,必须执行下面指令,必须先跟SSC管理员取得.cer档案,并汇入到环境中,才不会发生凭证问题,造成无法连线
如果单机上测试都没有问题,接下来就可以进行自动化部分,另外,在fortify中有一个fortify.license的SCA档案,也要一并放到可以被VSTS Agent读到的位置,因为在设定后续的Fortify Task会使用到这个档案,在fortify安装资料夹中找到fortifyclient.bat,用这个测试上传fpr是否有问题
设定VSTS内Fortify Task
安装完毕Micro Focus Fortify套件后,可以看到这些相关的TASK
要扫描程式码,选Fortify Static Code Analyzer Assessment这个来用就可以,主要设定可以分三大块
基本参数设定
主要设定SCA License档案位置,和每次产生fpr档案的命名规则
Build設定
这边设定是要编译程式的类型,在17.1版只有分.NET & 'Java'版本两种,且还不能编译.NET Core,不过,据说下一个版本会扩充更多可编译的类型,然后,在选择专案位置,这边有一个比较奇怪地方,就是如果上面有一个TASK已经做过Build,在这里把Run Build取消,就会发生失败状况,所以,这边还是必须把Run Build打勾,才可以顺利进行下去。在17.1版如果是.NET程式,还是仰赖MSBuild进行,所以,编译那一台机器上必须可以执行MSBuild
Scan
扫描类型可以分成Cloud和Local,在企业端大部分都是选择Local Scan,就可以开始进行扫描的动作,这部分会执行时间相当长,所以,建议可以用定时执行Definitons方式
上传fpr设定
当扫描完毕之后,就会产生.fpr档案,这时候就必须上传到SSC Server。此时必须先设定SSC的End Point位置,设定主机属性如下
Connection Name : 给定这服务一个名称
Server URL : 格式会是https://XXXX.XXX.XXX.XXX/ssc
User Name : 登入SSC的帐号
Password : 登入SSC的密码
再来设定对应到SSC的Application Name和Version,这边的Application Name和Version必须和SSC上面注册是一致的才可以,换句话说,必须在SSC注册一个Application和它的版本
完成以上步骤,就可以自动化的SCAN,同时上传扫描后的档案了
Study4 Love
关注我们
领取专属 10元无门槛券
私享最新 技术干货