跳转至

Ostorlab 与 CircleCI 的集成

概述

本指南说明了如何使用 CircleCI 将安全和隐私测试无缝集成到您的移动应用程序管道构建中。

视频演示

观看这个简短的视频,了解集成过程的直观演示。

生成 API 密钥

第一步是生成一个新的 API 密钥。在您的组织仪表板中,单击菜单按钮。

Click menu button

接下来,单击“Integrations/API”以展开。

Click 'Integrations/API'

然后,选择“API Keys”。

Click 'API Keys'

从这里,单击“New”。

Click 'New'

复制 API 密钥。您还可以为您的密钥添加名称和到期日期。

Fill 'API key details'

不要忘记单击保存按钮以保存您的密钥。

Save API key

更新您的 CircleCI 管道

现在,更新您的 CircleCI 管道以包含触发安全扫描的 Ostorlab 步骤。

Edit CircleCI config

搜索 Ostorlab orb:

Search Ostorlab orb Select Ostorlab orb Confirm Ostorlab orb

将资产类型定义为 Android 或 iOS。在此示例中,我们选择 Android 来扫描 Android 应用程序。

Select asset type

输入生成的 API 密钥。

Enter API key

添加扫描配置文件 (scan profile)。选择 Fast Scan 进行快速静态分析,或选择 Full Scan 进行全面分析,包括静态、动态和后端扫描。

Select scan profile

提供 APK 或 IPA 文件的路径。

Provide APK path

默认情况下,操作不会因风险评级 (risk rating) 而失败。它只会 在 Ostorlab 平台上创建一个扫描。如果您将此值设置为 HIGH,则如果扫描风险评级等于或高于此值,该操作将失败。

Set risk rating

默认情况下,该操作将等待 2 小时以获取扫描结果,然后因超时错误而失败。您可以将此值更改为任意分钟数。

Set timeout

附加 (extra) 参数使您能够提供 Lock 文件以增强扫描分析。此外,它允许您提供简单的凭据或自定义凭据以启用经过身份验证的测试。

Provide extra parameters

支持的 SBOM/Lock 文件

  • SPDX
  • CycloneDX
  • gradle.lockfile
  • pubspec.lock
  • buildscript-gradle.lockfile
  • pnpm-lock.yaml
  • package-lock.json
  • packages.lock.json
  • pom.xml
  • Gemfile.lock
  • yarn.lock
  • Cargo.lock
  • composer.lock
  • conan.lock
  • mix.lock
  • go.mod
  • requirements.txt
  • Pipfile.lock
  • poetry.lock

为您的扫描添加标题。

Add scan title

现在单击“Preview Snippet”:

Preview snippet

复制该代码段并将其粘贴到您的 CircleCI 管道配置文件中。

Copy snippet Paste snippet Save snippet

最后,保存更改。

Save changes

并将更改提交到您的存储库。

Commit changes

管道运行后,您可以检查进度、检索扫描 ID,并在 Ostorlab 上的组织帐户中监控您的扫描。

Monitor scan progress

例如,这是当前扫描的报告。

View scan report

结论

本指南涵盖了将 Android 和 iOS 移动应用的 Ostorlab 自主安全测试有效且轻松地集成到您的 CircleCI 管道中所需的步骤。