Ostorlab 与 Azure DevOps 集成
概述
欢迎阅读有关将 Ostorlab 与 Azure DevOps 集成的综合指南,该集成可增强移动应用程序管道构建中的安全和隐私测试。请按照这些分步说明,将 Ostorlab 无缝整合到您的开发工作流程中。
视频演示
观看此简短视频,以可视化的方式了解集成过程。
API 密钥生成
首先,在您的组织仪表板中生成一个新的 API 密钥。请按以下步骤操作:
单击菜单按钮。
展开 "Integrations/API" 部分。
选择 "API Keys"。
单击 "New"。
复制 API 密钥。您可以选择添加名称和到期日期。
保存该密钥。
扩展安装
现在,让我们从 Azure DevOps Marketplace 安装 Ostorlab 扩展。
在 Marketplace 中搜索 "Ostorlab"。
打开扩展页面。
单击 "Get it free"。
安装扩展。
成功安装的确认信息。
管道配置
继续配置您的 Azure DevOps 管道。
打开您的管道并单击 "Show Assistant"。
搜索 Ostorlab 扩展。
输入生成的 API 密钥。
添加您的应用程序的文件路径。
选择平台(Android 或 iOS)。
访问 Advanced Configuration 进行可选设置。
- 扫描配置文件 (Scan Profile):选择 Fast Scan 进行快速静态分析,或选择 Full Scan 进行全面分析。
- 扫描标题 (Scan Title):定义扫描的标题。
- 最大等待时间 (Max Wait Time):设置构建等待的最长时间(分钟)。
- 风险阈值 (Risk Threshold):设置导致构建失败的风险级别。
- 额外参数 (Extra Parameters):提供 SBOM/Lock 文件以增强扫描分析,或提供凭据进行身份验证测试。
以下列表列出了受支持的 SBOM/Lock 文件:
SPDX
CycloneDX
gradle.lockfile
pubspec.lock
buildscript-gradle.lockfile
pnpm-lock.yaml
package-lock.json
packages.lock.json
pom.xml
Gemfile.lock
yarn.lock
Cargo.lock
composer.lock
conan.lock
mix.lock
go.mod
requirements.txt
Pipfile.lock
poetry.lock
单击 "Add" 将 Ostorlab-Azure-Security-Scanner 包含到您的管道中。
查看管道中的任务详细信息。
保存并运行您的管道。
检查管道日志以获取详细信息,检索扫描 ID,并在您在 Ostorlab 上的组织帐户中监控扫描。
例如,这是当前扫描的报告
结论
本指南涵盖了将 Ostorlab 无缝集成到您的 Azure DevOps 管道构建中所需的步骤。使用此扩展,您可以对应用程序进行全面的静态、动态和后端扫描。