GoCD

Android および iOS モバイルアプリケーション向けの Ostorlab の自動セキュリティスキャンを、GoCd ビルドプロセスに簡単に統合できます。

使用方法:

Ostorlab API キーの生成

1. API キーメニュー にアクセスします
2. 新しいキーを生成するために、新しい (new) ボタンをクリックします
3. API キーをコピーします (キーに名前や有効期限を追加できます)
4. キーを保存するために保存 (save) ボタンをクリックします

GoCd で Ostorlab をコマンドラインステージとして追加する

1. GoCd ダッシュボードに移動し、パイプラインを選択します。

   

2. パイプラインの Edit をクリックします。

   

3. Stages を選択します。

   

4. 新しいステージ (stage) を追加し、フォームに入力します。

   • 最初のジョブタイプとして Custom Command を選択します。
   • そして、以下の引数を与えます。
   • Command: bash
   • Arguments: |

     -c
     pip install ostorlab
     

   • 保存をクリックします。

   

5. JOBS タブに移動し、新しく追加されたジョブを選択します。

   

6. ジョブを実行するためのタスクをもう 1 つ追加します。

   • Custom Command タイプの Task 追加をクリックします。
   • そして、以下の引数を与えます。
   • Command: bash
   • Arguments: |

     -c
     ostorlab --api-key=$OSTORLAB_API_KEY ci-scan run --title=$Scan_Title --scan-profile=$SCAN_PROFILE android-apk /path/to/app.apk
     

     オプションの完全なリストについては、以下の Additional options を確認してください。

   

7. 環境変数の追加

   • ENVIRONMENT VARIABLES タブに移動します。
   • OSTORLAB_API_KEY を Secure Variable として追加します。
   • その他の変数 (Scan_Title, SCAN_PROFILE, ...) を Plain Text Variables として追加します。

   

追加オプション

以下は、ostorlab ci-scan run コマンドのオプションの完全なリストです。

    ostorlab --api-key ci-scan run --option <asset-type> <target>

• --api-key: Ostorlab によって生成された API キー。

• --title: スキャンのタイトル (Scan title)。

• --scan-profile: スキャンのタイプ。可能なオプションは以下の通りです：

  1. fast_scan: 静的分析のみを実行します。
  2. full_scan: 静的、動的、バックエンドの分析を実行します。

• テスト認証情報 (Test credentials): 動的分析フルスキャンにおける自動認証：

  • --test-credentials-login: ログインフィールドで使用されるユーザー名。
  • --test-credentials-password: パスワードフィールドで使用されるパスワード。
  • --test-credentials-role: オプションのロールフィールド。
  • カスタム/汎用テスト認証情報：
    • --test-credentials-name: フィールドのカスタム名。
    • --test-credentials-value: フィールドのカスタム値。

• 2FA 認証情報 (2FA Credentials):

  • SMS 2FA:
    • --sms-2fa-sender: SMS 2FA の詳細についてはこちら
  • Email 2FA:
    • --email-2fa-sender-email-address, --email-2fa-email-address, --email-2fa-password: Email 2FA の詳細についてはこちら
  • TOTP 2FA:
    • --totp-2fa-seed: TOTP 2FA の詳細についてはこちら

• --sbom: sbom ファイルへのパス。

• UI プロンプト (オプション): Ostorlab は、アプリのユーザーインターフェイスを通じてスキャナーをガイドするための UI プロンプトをサポートしています。以下を使用できます：

  • --ui-prompt-name と --ui-prompt-action: 名前とアクションを指定して UI ステップを定義します。一連のステップに対して複数のペアを追加できます。例：

    --ui-prompt-name accept-terms --ui-prompt-action "Scroll down and tap the 'Accept Terms' checkbox."
    --ui-prompt-name submit --ui-prompt-action "Tap the 'Submit' button to complete the login process."
    

  • --ui-prompt-id: 既存の UI プロンプトフローを ID で参照します。複数の ID を追加できます。例：

    --ui-prompt-id 123 --ui-prompt-id 456
    

• asset-type: スキャンするアセットのタイプ。可能な値：

  • android-aab: Android .AAB パッケージファイルをスキャンします。
  • android-apk: Android .APK パッケージファイルをスキャンします。
  • ios-ipa: iOS .IPA パッケージファイルをスキャンします。

• target: ターゲットアプリケーションへのパス。