GoCD

Intégrez facilement l'analyse de sécurité automatisée d'Ostorlab pour les applications mobiles Android et iOS dans votre processus de build GoCd.

Utilisation :

Générer une clé API Ostorlab

Allez dans le menu des clés API
Cliquez sur le bouton "Nouveau" (new) pour générer une nouvelle clé
Copiez la clé API (Vous pouvez ajouter un nom et une date d'expiration à votre clé)
Cliquez sur le bouton "Enregistrer" (save) pour sauvegarder votre clé

Ostorlab API Key Generation

Ajouter Ostorlab comme étape de ligne de commande sur GoCd

Rendez-vous sur votre tableau de bord GoCd et sélectionnez votre pipeline.
Cliquez sur Edit sur votre pipeline.
Sélectionnez "Stages".
Ajoutez une nouvelle étape (stage) et remplissez le formulaire.
- Pour le type de Job initial, sélectionnez Custom Command.
- Et donnez-lui les arguments suivants :
- Command: bash
- Arguments: |
```
-c
pip install ostorlab
```
- Cliquez sur enregistrer.
Accédez à l'onglet JOBS et sélectionnez votre job nouvellement ajouté.
Ajoutez une autre tâche (task) pour exécuter le job.
- Cliquez sur ajouter Task de type Custom Command.
- Et donnez-lui les arguments suivants :
- Command: bash
- Arguments: |
```
-c
ostorlab --api-key=$OSTORLAB_API_KEY ci-scan run --title=$Scan_Title --scan-profile=$SCAN_PROFILE android-apk /path/to/app.apk
```
  Consultez les Additional options ci-dessous pour la liste complète des options.
Ajouter des variables d'environnement
- Accédez à l'onglet ENVIRONMENT VARIABLES.
- Ajoutez la OSTORLAB_API_KEY en tant que Secure Variable.
- Ajoutez les autres variables (Scan_Title, SCAN_PROFILE, ...) en tant que Plain Text Variables.

Options supplémentaires

Voici la liste complète des options pour la commande ostorlab ci-scan run :

    ostorlab --api-key ci-scan run --option <asset-type> <target>

--api-key: Clé API générée par Ostorlab.
--title: Titre de l'analyse (Scan title)
--scan-profile: Type d'analyse. Les options possibles sont :
1. fast_scan: Exécute uniquement l'analyse statique ;
2. full_scan: Exécute l'analyse statique, dynamique et backend.
Identifiants de test (Test credentials) : Authentification automatique lors de l'analyse dynamique complète :
- --test-credentials-login: Nom d'utilisateur à utiliser dans les champs de connexion ;
- --test-credentials-password: Mot de passe à utiliser dans les champs de mot de passe ;
- --test-credentials-role: Champ de rôle optionnel ;
- Identifiants de test personnalisés/génériques :
  - --test-credentials-name: Nom personnalisé du champ ;
  - --test-credentials-value: Valeur personnalisée du champ
Identifiants 2FA (2FA Credentials) :
- SMS 2FA:
  - --sms-2fa-sender: En savoir plus sur SMS 2FA
- Email 2FA:
  - --email-2fa-sender-email-address, --email-2fa-email-address, --email-2fa-password: En savoir plus sur Email 2FA
- TOTP 2FA:
  - --totp-2fa-seed: En savoir plus sur TOTP 2FA
--sbom: Chemin vers le fichier sbom.
Prompts UI (Optionnel): Ostorlab prend en charge les prompts UI pour guider le scanner à travers l'interface utilisateur de votre application. Vous pouvez utiliser :
- --ui-prompt-name et --ui-prompt-action: Définissez une étape UI en spécifiant le nom et l'action. Vous pouvez ajouter plusieurs paires pour une séquence d'étapes. Par exemple :
```
--ui-prompt-name accept-terms --ui-prompt-action "Scroll down and tap the 'Accept Terms' checkbox."
--ui-prompt-name submit --ui-prompt-action "Tap the 'Submit' button to complete the login process."
```
- --ui-prompt-id: Référencez les flux de prompts UI existants par leurs ID. Vous pouvez ajouter plusieurs ID. Par exemple :
```
--ui-prompt-id 123 --ui-prompt-id 456
```
asset-type: Type d'actif à analyser. Valeurs possibles :
- android-aab: Analyser un fichier de package .AAB Android ;
- android-apk: Analyser un fichier de package .APK Android ;
- ios-ipa: Analyser un fichier de package .IPA iOS ;
target: Chemin vers l'application cible.