Intégration d'Ostorlab avec Azure DevOps
Vue d'ensemble
Bienvenue dans le guide complet sur l'intégration d'Ostorlab avec Azure DevOps, améliorant les tests de sécurité et de confidentialité dans les builds de pipeline de vos applications mobiles. Suivez ces instructions étape par étape pour intégrer de manière transparente Ostorlab dans votre flux de développement.
Démonstration vidéo
Regardez cette brève vidéo pour un aperçu visuel du processus d'intégration.
Génération de clé API
Pour commencer, générez une nouvelle clé API dans le tableau de bord de votre organisation. Suivez ces étapes :
Cliquez sur le bouton de menu.
Développez la section "Integrations/API".
Choisissez "API Keys".
Cliquez sur "New".
Copiez la clé API. En option, ajoutez un nom et une date d'expiration.
Enregistrez la clé.
Installation de l'extension
Maintenant, installons l'extension Ostorlab depuis le Marketplace Azure DevOps.
Recherchez "Ostorlab" dans le Marketplace.
Ouvrez la page de l'extension.
Cliquez sur "Get it free".
Installez l'extension.
Confirmation de l'installation réussie.
Configuration du pipeline
Procédez à la configuration de votre pipeline Azure DevOps.
Ouvrez votre pipeline et cliquez sur "Show Assistant".
Recherchez l'extension Ostorlab.
Entrez la clé API générée.
Ajoutez le chemin du fichier vers votre application.
Sélectionnez la plateforme (Android ou iOS).
Accédez aux configurations avancées pour les paramètres optionnels.
- Profil de scan (Scan Profile) : Choisissez entre Fast Scan pour une analyse statique rapide ou Full Scan pour une analyse complète.
- Titre du scan (Scan Title) : Définissez un titre pour le scan.
- Temps d'attente maximum (Max Wait Time) : Définissez le temps maximum (en minutes) pendant lequel le build doit attendre.
- Seuil de risque (Risk Threshold) : Définissez le niveau de risque pour l'échec du build.
- Paramètres supplémentaires (Extra Parameters) : Fournissez des fichiers SBOM/Lock pour une analyse approfondie du scan ou fournissez des identifiants pour des tests authentifiés.
La liste suivante indique les fichiers SBOM/Lock supportés :
SPDX
CycloneDX
gradle.lockfile
pubspec.lock
buildscript-gradle.lockfile
pnpm-lock.yaml
package-lock.json
packages.lock.json
pom.xml
Gemfile.lock
yarn.lock
Cargo.lock
composer.lock
conan.lock
mix.lock
go.mod
requirements.txt
Pipfile.lock
poetry.lock
Cliquez sur "Add" pour inclure l'Ostorlab-Azure-Security-Scanner dans votre pipeline.
Examinez les détails de la tâche dans le pipeline.
Enregistrez et exécutez votre pipeline.
Vérifiez les journaux du pipeline pour obtenir des détails, récupérez l'ID du scan, et surveillez votre scan dans le compte de votre organisation sur Ostorlab.
Par exemple, voici le rapport pour le scan actuel.
Conclusion
Ce guide a couvert les étapes nécessaires pour intégrer de manière transparente Ostorlab dans les builds de votre pipeline Azure DevOps. Avec cette extension, vous pouvez effectuer des scans statiques, dynamiques et backend complets pour votre application.