Guía de integración de Bitrise
Integre fácilmente el escaneo de seguridad automatizado de Ostorlab para aplicaciones móviles de Android en su pipeline de CI de Bitrise.
Generar una clave API de Ostorlab
- Vaya al menú de claves API
- Haga clic en el botón New para generar una nueva clave
- Copie la clave API (puede agregar un nombre y una fecha de caducidad a su clave)
- Haga clic en el botón Save para guardar su clave
Agregar la clave API como Secreto de Bitrise
- Abra su proyecto de Bitrise
- Vaya a Workflow Editor
- Vaya a Secrets
-
Agregue un nuevo secreto:
-
Guarde el secreto.
Agregar variables de entorno
Puede configurar parámetros adicionales para el escaneo.
Agregar una etapa de flujo de trabajo de Bitrise
- Vaya a Workflow Editor
- Seleccione el flujo de trabajo donde desea ejecutar el escaneo (por ejemplo, `primary`)
- Haga clic en Add Step
- Busque Script
- Seleccione el paso Script para agregarlo al flujo de trabajo
Configurar el paso de Script
- En el paso Script, elija Custom Script
- Pegue el script de la siguiente sección en el campo Script content
- Guarde el flujo de trabajo
Agregar el script de Ostorlab
Agregue el siguiente script bash en el paso de Script:
#!/bin/bash
set -e
python3 -m pip install --upgrade pip
pip install ostorlab
ostorlab \
--api-key="$API_KEY" \
ci-scan run \
--title="$Scan_Title" \
--scan-profile="$SCAN_PROFILE" \
android-apk "$BITRISE_APK_PATH"
Opciones adicionales
La siguiente es la lista completa de opciones para el comando `ostorlab ci-scan run`:
ostorlab --api-key <API_KEY> ci-scan run --option <asset-type> <target>
-
--api-key: Clave API generada por Ostorlab.
-
--title: Título del escaneo
-
--scan-profile: Tipo de escaneo. Las opciones posibles son:
- `fast`: Ejecuta solo el análisis estático;
- `full`: Ejecuta el análisis estático, dinámico y de backend.
-
Credenciales de prueba: Autenticación automática en el escaneo completo de análisis dinámico:
- --test-credentials-login: Nombre de usuario para utilizar en los campos de inicio de sesión;
- --test-credentials-password: Contraseña para utilizar en los campos de contraseña;
- --test-credentials-role: Campo de rol opcional;
- Credenciales de prueba personalizadas/genéricas:
- --test-credentials-name: Nombre personalizado del campo;
- --test-credentials-value: Valor personalizado del campo
-
Credenciales 2FA:
- SMS 2FA:
- --sms-2fa-sender: Obtenga más información sobre SMS 2FA
- Email 2FA:
- --email-2fa-sender-email-address, --email-2fa-email-address, --email-2fa-password: Obtenga más información sobre Email 2FA
- TOTP 2FA:
- --totp-2fa-seed: Obtenga más información sobre TOTP 2FA
- SMS 2FA:
-
--sbom: Ruta al archivo sbom. El archivo sbom también debe montarse como se especifica en el paso 3.
-
--ui-prompt-name: Nombre del indicador de IU que se pasará a la CLI de Ostorlab.
-
--ui-prompt-action: Acción del indicador de IU que se pasará a la CLI de Ostorlab. Los indicadores de IU son una función potente que le permite usar lenguaje natural para indicarle al escáner cómo navegar por la aplicación. Puede agregar varios indicadores agregando los argumentos varias veces, por ejemplo: ```shell --ui-prompt-name accept-terms --ui-prompt-action "Scroll down and tap the 'Accept Terms' checkbox." --ui-prompt-name submit --ui-prompt-action "Tap the 'Submit' button to complete the login process." ```
-
--ui-prompt-id: Lista de ID de indicadores de IU existentes que se pasarán a la CLI de Ostorlab. Esto le permite reutilizar flujos de indicadores de IU definidos previamente mediante sus ID. Puede agregar varios ID de indicadores agregando el argumento varias veces, por ejemplo: ```shell --ui-prompt-id 123 --ui-prompt-id 456 ```
-
asset-type: Tipo de activo a escanear. Valores posibles:
- `android-aab`: Escanear un archivo de paquete `.AAB` de Android;
- `android-apk`: Escanear un archivo de paquete `.APK` de Android;
- `ios-ipa`: Escanear un archivo de paquete `.IPA` de iOS;
-
target: Ruta a la aplicación objetivo. La aplicación debe montarse como se especifica en el paso 3.