Saltar a contenido

Integración de Ostorlab con CircleCI

Descripción general

Esta guía explica cómo integrar de forma transparente las pruebas de privacidad y seguridad en las builds de su pipeline de aplicaciones móviles utilizando CircleCI.

Demostración en video

Vea este breve video para un recorrido visual del proceso de integración.

Generar una clave API

El primer paso es generar una nueva clave API. En el panel de su organización, haga clic en el botón de menú.

Click menu button

A continuación, haga clic en "Integrations/API" para expandir.

Click 'Integrations/API'

Luego, elija "API Keys".

Click 'API Keys'

Desde aquí, haga clic en "New".

Click 'New'

Copie la clave API. También puede agregar un nombre y una fecha de caducidad a su clave.

Fill 'API key details'

No olvide hacer clic en el botón de guardar para guardar su clave.

Save API key

Actualizar su pipeline de CircleCI

Ahora, actualice su pipeline de CircleCI para incluir un paso de Ostorlab para desencadenar el escaneo de seguridad.

Edit CircleCI config

Busque el orb de Ostorlab:

Search Ostorlab orb Select Ostorlab orb Confirm Ostorlab orb

Defina el tipo de activo como Android o iOS. En este ejemplo, elegimos Android para escanear una aplicación de Android.

Select asset type

Ingrese la clave API generada.

Enter API key

Agregue el perfil de escaneo (scan profile). Elija entre Fast Scan para un análisis estático rápido o Full Scan para un análisis completo, que incluye escaneos estáticos, dinámicos y de backend.

Select scan profile

Proporcione la ruta al archivo APK o IPA.

Provide APK path

De forma predeterminada, la acción no fallará según el nivel de riesgo (risk rating). Simplemente creará un escaneo en la plataforma Ostorlab. Si establece este valor en HIGH, la acción fallará si el nivel de riesgo del escaneo es igual o superior a este valor.

Set risk rating

De forma predeterminada, la acción esperará 2 horas para obtener los resultados del escaneo antes de fallar con un error de tiempo de espera (timeout). Puede cambiar este valor a cualquier número de minutos.

Set timeout

El parámetro adicional (extra) le permite proporcionar sus archivos Lock para mejorar el análisis del escaneo. Además, le permite proporcionar credenciales simples o credenciales personalizadas para habilitar pruebas autenticadas.

Provide extra parameters

Archivos SBOM/Lock compatibles

  • SPDX
  • CycloneDX
  • gradle.lockfile
  • pubspec.lock
  • buildscript-gradle.lockfile
  • pnpm-lock.yaml
  • package-lock.json
  • packages.lock.json
  • pom.xml
  • Gemfile.lock
  • yarn.lock
  • Cargo.lock
  • composer.lock
  • conan.lock
  • mix.lock
  • go.mod
  • requirements.txt
  • Pipfile.lock
  • poetry.lock

Agregue un título para su escaneo.

Add scan title

Ahora haga clic en "Preview Snippet":

Preview snippet

Copie el snippet y péguelo en el archivo de configuración de su pipeline de CircleCI.

Copy snippet Paste snippet Save snippet

Finalmente, guarde los cambios.

Save changes

Y haga commit de los cambios en su repositorio.

Commit changes

Después de que se ejecute el pipeline, puede verificar el progreso, recuperar el ID del escaneo y supervisar su escaneo dentro de la cuenta de su organización en Ostorlab.

Monitor scan progress

Por ejemplo, este es el informe del escaneo actual.

View scan report

Conclusión

Esta guía cubre los pasos necesarios para integrar de manera efectiva y fácil las pruebas de seguridad autónomas de Ostorlab para aplicaciones móviles Android e iOS en su pipeline de CircleCI.