Bitrise統合ガイド

Androidモバイルアプリケーション向けのOstorlabの自動化されたセキュリティスキャンをBitrise CIパイプラインに簡単に統合できます。

---

Ostorlab APIキーの生成

1. API keysメニューに移動します。
2. Newボタンをクリックして、新しいキーを生成します。
3. APIキーをコピーします（キーには名前と有効期限を追加できます）。
4. Saveボタンをクリックしてキーを保存します。

---

APIキーをBitriseのSecretとして追加する

1. Bitriseプロジェクトを開きます。
2. Workflow Editorに移動します。
3. Secretsに移動します。

4. 新しいシークレットを追加します：

5. シークレットを保存します。

---

環境変数の追加

スキャン用に追加のパラメータを構成できます。

---

Bitriseワークフローステージの追加

1. Workflow Editorに移動します。
2. スキャンを実行したいワークフロー（たとえば、`primary`）を選択します。
3. Add Stepをクリックします。
4. Scriptを検索します。
5. Scriptステップを選択してワークフローに追加します。

---

Scriptステップの構成

1. Scriptステップで、Custom Scriptを選択します。
2. 次のセクションのスクリプトをScript contentフィールドに貼り付けます。
3. ワークフローを保存します。

---

Ostorlabスクリプトの追加

Scriptステップに次のbashスクリプトを追加します。

#!/bin/bash
set -e

python3 -m pip install --upgrade pip
pip install ostorlab

ostorlab \
  --api-key="$API_KEY" \
  ci-scan run \
  --title="$Scan_Title" \
  --scan-profile="$SCAN_PROFILE" \
  android-apk "$BITRISE_APK_PATH"

追加オプション

以下は、`ostorlab ci-scan run` コマンドの全オプションのリストです。

ostorlab --api-key <API_KEY> ci-scan run --option <asset-type> <target>

• --api-key: Ostorlabが生成したAPIキー。

• --title: スキャンタイトル

• --scan-profile: スキャンの種類。可能なオプションは次のとおりです。

  1. `fast`: 静的解析のみを実行します。
  2. `full`: 静的、動的、およびバックエンド解析を実行します。

• テスト認証情報: 動的解析のフルスキャンにおける自動認証:

  • --test-credentials-login: ログインフィールドで使用するユーザー名。
  • --test-credentials-password: パスワードフィールドで使用するパスワード。
  • --test-credentials-role: オプションのロールフィールド。
  • カスタム/汎用テスト認証情報:
    • --test-credentials-name: フィールドのカスタム名。
    • --test-credentials-value: フィールドのカスタム値。

• 2FA認証情報:

  • SMS 2FA:
    • --sms-2fa-sender: SMS 2FAの詳細を見る
  • Email 2FA:
    • --email-2fa-sender-email-address, --email-2fa-email-address, --email-2fa-password: Email 2FAの詳細を見る
  • TOTP 2FA:
    • --totp-2fa-seed: TOTP 2FAの詳細を見る

• --sbom: sbomファイルへのパス。sbomファイルも、ステップ3で指定したようにマウントする必要があります。

• --ui-prompt-name: Ostorlab CLIに渡されるUIプロンプトの名前。

• --ui-prompt-action: Ostorlab CLIに渡されるUIプロンプトのアクション。UIプロンプトは、自然言語を使用してアプリの操作方法をスキャナーに指示できる強力な機能です。引数を複数回追加することで、複数のプロンプトを追加できます。例： ```shell --ui-prompt-name accept-terms --ui-prompt-action "Scroll down and tap the 'Accept Terms' checkbox." --ui-prompt-name submit --ui-prompt-action "Tap the 'Submit' button to complete the login process." ```

• --ui-prompt-id: Ostorlab CLIに渡される既存のUIプロンプトIDのリスト。これにより、以前に定義したUIプロンプトフローをそのIDによって再利用できます。引数を複数回追加することで、複数のプロンプトIDを追加できます。例： ```shell --ui-prompt-id 123 --ui-prompt-id 456 ```

• asset-type: スキャンする資産の種類。可能な値:

  • `android-aab`: Android `.AAB` パッケージファイルをスキャンします。
  • `android-apk`: Android `.APK` パッケージファイルをスキャンします。
  • `ios-ipa`: iOS `.IPA` パッケージファイルをスキャンします。

• target: ターゲットアプリケーションへのパス。アプリケーションは、ステップ3で指定したようにマウントする必要があります。