OstorlabとAzure DevOpsの統合
概要
このガイドでは、モバイルアプリケーションのパイプラインビルドでのセキュリティおよびプライバシーテストを強化する、OstorlabとAzure DevOpsの統合について包括的に説明します。開発ワークフローにOstorlabをシームレスに組み込むには、以下の段階的な手順に従ってください。
ビデオデモンストレーション
統合プロセスの視覚的なウォークスルーについては、この短いビデオをご覧ください。
APIキーの生成
まず、組織のダッシュボードで新しいAPIキーを生成します。次の手順に従ってください。
メニューボタンをクリックします。
「Integrations/API」セクションを展開します。
「API Keys」を選択します。
「New」をクリックします。
APIキーをコピーします。必要に応じて、名前と有効期限を追加します。
キーを保存します。
拡張機能のインストール
次に、Azure DevOps MarketplaceからOstorlab拡張機能をインストールします。
Marketplaceで「Ostorlab」を検索します。
拡張機能ページを開きます。
「Get it free」をクリックします。
拡張機能をインストールします。
正常なインストールの確認。
パイプラインの構成
Azure DevOpsパイプラインの構成に進みます。
パイプラインを開き、「Show Assistant」をクリックします。
Ostorlab拡張機能を検索します。
生成されたAPIキーを入力します。
アプリケーションへのファイルパスを追加します。
プラットフォーム(AndroidまたはiOS)を選択します。
オプション設定のための高度な構成にアクセスします。
- スキャンプロファイル(Scan Profile): 迅速な静的解析のためのFast Scanか、包括的な解析のためのFull Scanを選択します。
- スキャンタイトル(Scan Title): スキャンのタイトルを定義します。
- 最大待機時間(Max Wait Time): ビルドが待機する最大時間(分単位)を設定します。
- リスクしきい値(Risk Threshold): ビルドが失敗するリスクレベルを設定します。
- 追加パラメータ(Extra Parameters): スキャン解析を強化するためのSBOM/Lockファイルを提供するか、認証されたテストのための認証情報を提供します。
サポートされているSBOM/Lockファイルの一覧は次のとおりです。
SPDX
CycloneDX
gradle.lockfile
pubspec.lock
buildscript-gradle.lockfile
pnpm-lock.yaml
package-lock.json
packages.lock.json
pom.xml
Gemfile.lock
yarn.lock
Cargo.lock
composer.lock
conan.lock
mix.lock
go.mod
requirements.txt
Pipfile.lock
poetry.lock
「Add」をクリックして、パイプラインにOstorlab-Azure-Security-Scannerを含めます。
パイプライン内のタスクの詳細を確認します。
パイプラインを保存して実行します。
詳細についてパイプラインのログを確認し、スキャンIDを取得して、Ostorlabの組織アカウント内でスキャンを監視します。
たとえば、これが現在のスキャンのレポートです。
結論
このガイドでは、OstorlabをAzure DevOpsパイプラインのビルドにシームレスに統合するために必要な手順について説明しました。この拡張機能を使用すると、アプリケーションの包括的な静的、動的、およびバックエンドスキャンを実行できます。