Guide d'intégration Bitrise
Intégrez facilement les scans de sécurité automatisés d'Ostorlab pour les applications mobiles Android dans votre pipeline CI Bitrise.
Générer une clé API Ostorlab
- Accédez au menu des clés API
- Cliquez sur le bouton New pour générer une nouvelle clé
- Copiez la clé API (Vous pouvez ajouter un nom et une date d'expiration à votre clé)
- Cliquez sur le bouton Save pour enregistrer votre clé
Ajouter la clé API comme Secret Bitrise
- Ouvrez votre projet Bitrise
- Allez dans Workflow Editor
- Naviguez vers Secrets
-
Ajoutez un nouveau secret :
-
Enregistrez le secret.
Ajouter des variables d'environnement
Vous pouvez configurer des paramètres supplémentaires pour le scan.
Ajouter une étape de workflow Bitrise
- Allez dans Workflow Editor
- Sélectionnez le workflow où vous souhaitez exécuter le scan (par exemple, `primary`)
- Cliquez sur Add Step
- Recherchez Script
- Sélectionnez l'étape Script pour l'ajouter au workflow
Configurer l'étape de script
- Dans l'étape Script, choisissez Custom Script
- Collez le script de la section suivante dans le champ Script content
- Enregistrez le workflow
Ajouter le script Ostorlab
Ajoutez le script bash suivant dans l'étape de script :
#!/bin/bash
set -e
python3 -m pip install --upgrade pip
pip install ostorlab
ostorlab \
--api-key="$API_KEY" \
ci-scan run \
--title="$Scan_Title" \
--scan-profile="$SCAN_PROFILE" \
android-apk "$BITRISE_APK_PATH"
Options supplémentaires
Voici la liste complète des options pour la commande `ostorlab ci-scan run` :
ostorlab --api-key <API_KEY> ci-scan run --option <asset-type> <target>
-
--api-key : Clé API générée par Ostorlab.
-
--title : Titre du scan
-
--scan-profile : Type de scan. Les options possibles sont :
- `fast` : Exécute uniquement l'analyse statique ;
- `full` : Exécute les analyses statique, dynamique et backend.
-
Identifiants de test : Authentification automatique dans le scan complet d'analyse dynamique :
- --test-credentials-login : Nom d'utilisateur à utiliser dans les champs de connexion ;
- --test-credentials-password : Mot de passe à utiliser dans les champs de mot de passe ;
- --test-credentials-role : Champ de rôle optionnel ;
- Identifiants de test personnalisés/génériques :
- --test-credentials-name : Nom personnalisé du champ ;
- --test-credentials-value : Valeur personnalisée du champ
-
Identifiants 2FA :
- SMS 2FA :
- --sms-2fa-sender : En savoir plus sur SMS 2FA
- Email 2FA :
- --email-2fa-sender-email-address, --email-2fa-email-address, --email-2fa-password : En savoir plus sur Email 2FA
- TOTP 2FA :
- --totp-2fa-seed : En savoir plus sur TOTP 2FA
- SMS 2FA :
-
--sbom : Chemin vers le fichier sbom. Le fichier sbom doit également être monté comme spécifié à l'étape 3.
-
--ui-prompt-name : Nom de l'invite UI à passer au CLI Ostorlab.
-
--ui-prompt-action : Action de l'invite UI à passer au CLI Ostorlab. Les invites UI sont une fonctionnalité puissante qui vous permet d'utiliser le langage naturel pour indiquer au scanner comment naviguer dans l'application. Vous pouvez ajouter plusieurs invites en ajoutant les arguments plusieurs fois, par exemple : ```shell --ui-prompt-name accept-terms --ui-prompt-action "Scroll down and tap the 'Accept Terms' checkbox." --ui-prompt-name submit --ui-prompt-action "Tap the 'Submit' button to complete the login process." ```
-
--ui-prompt-id : Liste des ID d'invite UI existants à passer au CLI Ostorlab. Cela vous permet de réutiliser des flux d'invites UI précédemment définis grâce à leurs ID. Vous pouvez ajouter plusieurs ID d'invite en ajoutant l'argument plusieurs fois, par exemple : ```shell --ui-prompt-id 123 --ui-prompt-id 456 ```
-
asset-type : Type de l'actif à scanner. Valeurs possibles :
- `android-aab` : Scanner un fichier de package Android `.AAB` ;
- `android-apk` : Scanner un fichier de package Android `.APK` ;
- `ios-ipa` : Scanner un fichier de package iOS `.IPA` ;
-
target : Chemin vers l'application cible. L'application doit être montée comme spécifié à l'étape 3.