DEV Community

Cover image for Utilizando os Plug-ins no Azure DevOps
Ivo Dias for M3Corp

Posted on • Edited on

Utilizando os Plug-ins no Azure DevOps

Nesse artigo vamos ver como fazer a configuração dos plug-ins da Veracode disponíveis dentro do Azure DevOps.

Inicialmente, precisamos importá-las pela loja de extensões do Azure DevOps, conforme essa imagem (sendo a primeira opção a correta):
Loja Azure
Com isso vamos ter dois plug-ins disponíveis para utilizarmos, um para fazer a análise e um para importar esses resultados e integrar com o Azure Boards.

Vamos começar com o processo de scan, para esse exemplo vou utilizar de base um projeto para fazer a análise do DVWA, projeto aberto para identificar problemas de segurança. Por ser um projeto em PHP, precisamos apenas fazer um zip com todos os arquivos e enviar para a análise, conforme está no guia de empacotamento da Veracode.

Com esse zip pronto, podemos fazer a configuração do plug-in "Uploud and Scan". Para as credenciais, podemos tanto coloca-las diretamente nele ou podemos criar uma "Service Connection", que é o mais indicado.
Plug-In
Seguindo com as opções (ok, elas são bem simples), para fazermos o scan precisamos inicialmente de 3 informações:

  • O nome do perfil de aplicação
  • Um identificador para o build
  • O caminho do arquivo que vai ser analisado

Conforme vemos na imagem, podemos ter todas essas informações abstraídas, o que facilita um processo de implantação massiva e/ou a criação de um template. No exemplo utilizamos as informações internas do Azure, como número de build.

Descendo nas opções, vamos ter algumas outras configurações importantes, como deixar ativada a criação automática de perfis de aplicação (isso é muito importante para uma rápida implementação, mas pode se tornar um fator de risco ao licenciamento), a criação de Sandboxs e se queremos que a tarefa aguarde a conclusão do scan para continuar ou não.
Opções avançadas

Com isso, já temos nosso plug-in de scan configurado.
Como esperado, esse processo não é nem um pouco difícil, já que a ideia é deixar o processo o mais simples possível.

Mas com isso já podemos avançar para a utilização do outro Plug-in, o "Flaw Importer". Com ele vamos fazer a importação de todas as falhas detectadas para o Azure Boards.

Sua configuração é ainda mais simples, basicamente, só precisamos das credenciais e informar de qual perfil de aplicação queremos buscar as informações.
Flaw Importer
Alguns pontos de atenção são o tipo de falhas que vamos importar, já que isso impacta diretamente no template que utilizamos, e onde vamos importar, sendo necessário informar a área correta que queremos. Caso utiliza um template personalizado, pode ser necessário um configuração especial, conforme esse artigo.

Como resultado desse pipeline, vamos ter a aplicação não só analisada completamente, como também vamos ter dentro do Boards todas as informações relacionadas:
Boards

Top comments (0)