Integración de Ostorlab con Azure DevOps

Descripción general

Bienvenido a la guía completa sobre la integración de Ostorlab con Azure DevOps, que mejora las pruebas de seguridad y privacidad en las compilaciones del pipeline de su aplicación móvil. Siga estas instrucciones paso a paso para incorporar sin problemas a Ostorlab en su flujo de trabajo de desarrollo.

Demostración en video

Mire este breve video para ver un recorrido visual del proceso de integración.

Generación de clave API

Para comenzar, genere una nueva clave API en el panel de su organización. Siga estos pasos:

Haga clic en el botón de menú.

Paso 1

Expanda la sección "Integrations/API".

Paso 2

Elija "API Keys".

Paso 3

Haga clic en "New".

Paso 4

Copie la clave API. Opcionalmente, agregue un nombre y una fecha de vencimiento.

Paso 5

Guarde la clave.

Paso 6

Instalación de la extensión

Ahora, instalemos la extensión de Ostorlab desde el Marketplace de Azure DevOps.

Busque "Ostorlab" en el Marketplace.

Paso 7

Abra la página de la extensión.

Paso 8

Haga clic en "Get it free".

Paso 9

Instale la extensión.

Paso 10

Confirmación de instalación exitosa.

Paso 11

Configuración del pipeline

Proceda con la configuración de su pipeline de Azure DevOps.

Abra su pipeline y haga clic en "Show Assistant".

Paso 12

Busque la extensión de Ostorlab.

Paso 13

Introduzca la clave API generada.

Paso 14

Añada la ruta del archivo a su aplicación.

Paso 15

Seleccione la plataforma (Android o iOS).

Paso 16

Acceda a la Configuración Avanzada para opciones adicionales.

Configuración opcional

Perfil de escaneo (Scan Profile): Elija entre Fast Scan para un análisis estático rápido o Full Scan para un análisis completo.

Configuración opcional

Título del escaneo (Scan Title): Defina un título para el escaneo.

Configuración opcional

Tiempo máximo de espera (Max Wait Time): Establezca el tiempo máximo (en minutos) que debe esperar la compilación.

Configuración opcional

Umbral de riesgo (Risk Threshold): Establezca el nivel de riesgo para el fallo de la compilación.

Configuración opcional

Parámetros adicionales (Extra Parameters): Proporcione archivos SBOM/Lock para un análisis de escaneo mejorado o proporcione credenciales para pruebas autenticadas.

Parámetros adicionales

La siguiente lista describe los archivos SBOM/Lock compatibles:
    SPDX
    CycloneDX
    gradle.lockfile
    pubspec.lock
    buildscript-gradle.lockfile
    pnpm-lock.yaml
    package-lock.json
    packages.lock.json
    pom.xml
    Gemfile.lock
    yarn.lock
    Cargo.lock
    composer.lock
    conan.lock
    mix.lock
    go.mod
    requirements.txt
    Pipfile.lock
    poetry.lock

Haga clic en "Add" para incluir el Ostorlab-Azure-Security-Scanner en su pipeline.

Paso 23

Revise los detalles de la tarea dentro del pipeline.

Paso 24

Guarde y ejecute su pipeline.

Paso 25

Revise los registros del pipeline para obtener detalles, recupere el ID del escaneo y supervise su escaneo dentro de la cuenta de su organización en Ostorlab.

Paso 26

Por ejemplo, este es el informe del escaneo actual

Resultado del escaneo

Conclusión

Esta guía ha cubierto los pasos necesarios para integrar perfectamente a Ostorlab en las compilaciones del pipeline de Azure DevOps. Con esta extensión, puede realizar escaneos estáticos, dinámicos y de backend completos para su aplicación.