OstorlabとCircleCIの統合
概要
このガイドでは、CircleCIを使用してモバイルアプリケーションのパイプラインビルドにセキュリティおよびプライバシーテストをシームレスに統合する方法について説明します。
ビデオデモンストレーション
統合プロセスの視覚的なウォークスルーについては、この短いビデオをご覧ください。
APIキーの生成
最初のステップは、新しいAPIキーを生成することです。組織のダッシュボードで、メニューボタンをクリックします。
次に、「Integrations/API」をクリックして展開します。
そして、「API Keys」を選択します。
ここから、「New」をクリックします。
APIキーをコピーします。キーには名前と有効期限を追加することもできます。
忘れずに保存ボタンをクリックして、キーを保存してください。
CircleCIパイプラインの更新
次に、CircleCIパイプラインを更新して、セキュリティスキャンをトリガーするためのOstorlabステップを含めます。
Ostorlab orbを検索します:
アセットタイプをAndroidまたはiOSとして定義します。この例では、AndroidアプリをスキャンするためにAndroidを選択しています。
生成されたAPIキーを入力します。
スキャンプロファイル(scan profile)を追加します。迅速な静的解析のためのFast Scanか、静的、動的、およびバックエンドスキャンを含む包括的な解析のためのFull Scanのいずれかを選択します。
APKまたはIPAファイルへのパスを提供します。
デフォルトでは、アクションはリスク評価(risk rating)に基づいて失敗することはありません。Ostorlabプラットフォームでスキャンを作成するだけです。この値をHIGHに設定すると、スキャンのリスク評価がこの値以上の場合にアクションが失敗します。
デフォルトでは、アクションはタイムアウトエラーで失敗する前にスキャン結果を2時間待機します。この値は任意の分数に変更できます。
追加(extra)パラメーターを使用すると、スキャン解析を強化するためにLockファイルを提供できます。さらに、認証済みテストを有効にするために、シンプルな資格情報またはカスタム資格情報のいずれかを提供できます。
サポートされているSBOM/Lockファイル
- SPDX
- CycloneDX
- gradle.lockfile
- pubspec.lock
- buildscript-gradle.lockfile
- pnpm-lock.yaml
- package-lock.json
- packages.lock.json
- pom.xml
- Gemfile.lock
- yarn.lock
- Cargo.lock
- composer.lock
- conan.lock
- mix.lock
- go.mod
- requirements.txt
- Pipfile.lock
- poetry.lock
スキャンのタイトルを追加します。
次に、「Preview Snippet」をクリックします:
スニペットをコピーして、CircleCIパイプライン構成ファイルに貼り付けます。
最後に、変更を保存します。
そして、変更をリポジトリにコミットします。
パイプラインの実行後、Ostorlab上の組織アカウント内で、進行状況の確認、スキャンIDの取得、およびスキャンの監視を行うことができます。
たとえば、これは現在のスキャンのレポートです。
結論
このガイドでは、AndroidおよびiOSモバイルアプリのOstorlab自律型セキュリティテストをCircleCIパイプラインに効果的かつ簡単に統合するために必要な手順について説明しました。