Desenvolvimento Seguro: Como aproveitar o YAML para integrar soluções Veracode em pipelines de CI/CD

O script YAML é freqüentemente usado para simplificar o gerenciamento de configuração das ferramentas de CI / CD. Esta postagem do blog mostra como os scripts YAML para ferramentas de construção como Circle CI, Concourse CI, GitLab e Travis podem ser editados para criar integrações com a plataforma Veracode. A integração das soluções Veracode AppSec nos pipelines de CI / CD permite que os desenvolvedores incorporem a correção das vulnerabilidades de software diretamente em seus fluxos de trabalho SDLC, criando um processo mais eficiente para criar aplicativos seguros. Você também pode estender o modelo de script proposto neste blog para integrar a verificação do Veracode AppSec com quase qualquer ferramenta de construção configurada pelo YAML.

Etapa 1: Requisitos do ambiente

A primeira etapa é confirmar se a ferramenta de IC selecionada oferece suporte a definições de pipeline baseadas em YAML, onde assumimos que você está ativando imagens do Docker para executar seus fluxos de trabalho de CI / CD. Suas imagens do Docker podem ser executadas em Java ou .Net. Os scripts incluídos neste artigo são direcionados apenas para Java, e você precisará confirmar esta etapa antes de prosseguir para a próxima.

Etapa 2: Configurando seu arquivo YAML

A segunda etapa é localizar o arquivo de configuração YAML, que para muitas ferramentas de IC é rotulado como config.yml. A sintaxe básica é a mesma para a maioria das ferramentas de construção, com algumas pequenas variações. Os links abaixo contêm scripts de arquivo de configuração para Circle CI, Concourse CI, GitLab e Travis, que você também pode usar como exemplos para ajustar métodos de arquivos de configuração para outras ferramentas de construção.

  • CircleCI
  • ConcourseCI
  • GitLab
  • Travis

Etapa 3: Fazendo download do wrapper da API Java

A próxima etapa requer o download do wrapper da API Java, o que pode ser feito usando o script abaixo.

 

Etapa 4: Adicionando atributos de verificação Veracode para criar pipelines

A etapa final requer a inserção no script de todas as informações necessárias para interagir com as APIs da Veracode, incluindo atributos de dados como credenciais de acesso dos usuários, nome do aplicativo, número da versão da ferramenta de criação, etc. A Veracode criou uma rica biblioteca de APIs que fornece várias opções para interagindo com a plataforma Veracode e que permitem que clientes e parceiros criem suas próprias integrações. Informações sobre APIs da Veracode estão disponíveis na Central de Ajuda da Veracode .

O script listado abaixo demonstra como adicionar atributos ao arquivo de configuração YAML do Circle CI, para que o script possa executar a API uploadandscan, que permitirá o upload de aplicativos do Circle CI para a Plataforma Veracode e acionará a plataforma para executar a verificação do aplicativo.

A integração da varredura de segurança do aplicativo diretamente em suas ferramentas de construção permite que os desenvolvedores incorporem as varreduras de segurança diretamente em seus ciclos SDLC. Encontrar vulnerabilidades de software no início do ciclo de desenvolvimento permite uma correção mais simples e uma resolução de problemas mais eficiente, permitindo que os clientes da Veracode construam software mais seguro, sem comprometer os prazos de desenvolvimento.

Para obter informações adicionais sobre as integrações da Veracode, visite a página de integrações. 

Fonte: https://www.veracode.com/blog/secure-development/how-leverage-yaml-integrate-veracode-solutions-cicd-pipelines