Aller au contenu

Intégration d'Ostorlab avec CircleCI

Vue d'ensemble

Ce guide explique comment intégrer de manière fluide les tests de sécurité et de confidentialité dans les builds de votre pipeline d'applications mobiles à l'aide de CircleCI.

Démonstration vidéo

Regardez cette brève vidéo pour une présentation visuelle du processus d'intégration.

Générer une clé API

La première étape consiste à générer une nouvelle clé API. Dans le tableau de bord de votre organisation, cliquez sur le bouton de menu.

Click menu button

Ensuite, cliquez sur "Integrations/API" pour développer.

Click 'Integrations/API'

Puis, choisissez "API Keys".

Click 'API Keys'

À partir de là, cliquez sur "New".

Click 'New'

Copiez la clé API. Vous pouvez également ajouter un nom et une date d'expiration à votre clé.

Fill 'API key details'

N'oubliez pas de cliquer sur le bouton d'enregistrement pour enregistrer votre clé.

Save API key

Mettre à jour votre pipeline CircleCI

Maintenant, mettez à jour votre pipeline CircleCI pour inclure une étape Ostorlab permettant de déclencher l'analyse de sécurité.

Edit CircleCI config

Recherchez l'orb Ostorlab :

Search Ostorlab orb Select Ostorlab orb Confirm Ostorlab orb

Définissez le type d'actif sur Android ou iOS. Dans cet exemple, nous choisissons Android pour analyser une application Android.

Select asset type

Entrez la clé API générée.

Enter API key

Ajoutez le profil d'analyse (scan profile). Choisissez entre Fast Scan pour une analyse statique rapide ou Full Scan pour une analyse complète, comprenant des analyses statiques, dynamiques et backend.

Select scan profile

Fournissez le chemin vers le fichier APK ou IPA.

Provide APK path

Par défaut, l'action n'échouera pas en fonction du niveau de risque (risk rating). Elle créera simplement une analyse sur la plateforme Ostorlab. Si vous définissez cette valeur sur HIGH, l'action échouera si le niveau de risque de l'analyse est égal ou supérieur à cette valeur.

Set risk rating

Par défaut, l'action attendra les résultats de l'analyse pendant 2 heures avant d'échouer avec une erreur de délai d'attente. Vous pouvez modifier cette valeur pour n'importe quel nombre de minutes.

Set timeout

Le paramètre supplémentaire (extra) vous permet de fournir vos fichiers Lock pour une analyse approfondie. De plus, il vous permet de fournir des identifiants simples ou des identifiants personnalisés pour activer les tests authentifiés.

Provide extra parameters

Fichiers SBOM/Lock pris en charge

  • SPDX
  • CycloneDX
  • gradle.lockfile
  • pubspec.lock
  • buildscript-gradle.lockfile
  • pnpm-lock.yaml
  • package-lock.json
  • packages.lock.json
  • pom.xml
  • Gemfile.lock
  • yarn.lock
  • Cargo.lock
  • composer.lock
  • conan.lock
  • mix.lock
  • go.mod
  • requirements.txt
  • Pipfile.lock
  • poetry.lock

Ajoutez un titre pour votre analyse.

Add scan title

Maintenant, cliquez sur "Preview Snippet" :

Preview snippet

Copiez le snippet et collez-le dans le fichier de configuration de votre pipeline CircleCI.

Copy snippet Paste snippet Save snippet

Enfin, enregistrez les modifications.

Save changes

Et commitez les modifications dans votre dépôt.

Commit changes

Une fois le pipeline exécuté, vous pouvez vérifier la progression, récupérer l'ID de l'analyse et surveiller votre analyse au sein du compte de votre organisation sur Ostorlab.

Monitor scan progress

Par exemple, voici le rapport pour l'analyse en cours.

View scan report

Conclusion

Ce guide couvre les étapes requises pour intégrer efficacement et facilement les tests de sécurité autonomes d'Ostorlab pour les applications mobiles Android et iOS dans votre pipeline CircleCI.