Интеграция MurphySec в Jenkins

Интегрирование возможностей анализа безопасности кода MurphySec в Jenkins для повышения качества безопасности кода в продакционном окружении.

Обзор

Jenkins — это широко используемый проект непрерывной интеграции, используемый предприятиями. Интеграция возможностей анализа безопасности кода в Jenkins позволяет автоматически выполнять сканирование кода перед его сборкой, что снижает риск утечки данных компании из-за проблем с безопасностью кода. Это также помогает снизить давление при выпуске проекта. Каждый этап непрерывной интеграции выполняется автоматически без необходимости большого количества человеческого вмешательства, что способствует экономии времени и работы за счет минимизации повторяющихся процессов.

Реализация

1. При каждом запуске сборки Jenkins происходит автоматическое сканирование кода для выявления открытых компонентов и уязвимостей.
2. Настройка правил для прерывания сборки при обнаружении серьёзных уязвимостей.
3. Отправка результатов в чат Feishu, доступный для всех связанных инженеров.

Интеграция

1. Конфигурация Jenkinsfile

• Размещение файла Jenkinsfile в корневой директории проекта

• Пример кода Jenkinsfile> Логика выполнения: после получения кода через git pull, используется CLI-инструмент MurphySec для анализа кода, затем результат проверки анализируется с помощью инструмента Linux jq. Если в результате анализа найдены компоненты с уровнем угрозы "строго рекомендовано исправить", то процесс сборки прерывается.- Пример скрипта отправки сообщений Feishu feishu.sh

2. Установка пути к скриптам в Jenkins

• В административной панели Jenkins найти проект и в разделе управления проектами выбрать Advanced Project Options -> Pipeline -> Script Path = Jenkinsfile. Таким образом, при выполнении CI Jenkins будет использовать логику, указанную в файле Jenkinsfile.

3. Установка Webhook в Jenkins

• Настройка Webhooks для автоматического запуска Jenkins при обновлении проекта (необходимо установить плагины Git и GitLab Plugin)

• Выбор опции Build when a change is detected в качестве триггера сборки, этот URL будет использоваться в настройках Webhooks проекта GitLab

• Создание секретного токена для верификации GitLab Webhooks

4. Установка Webhook в GitLab

• Установка URL и секретного токена, полученного при настройке Webhook в Jenkins, в настройках проекта GitLab

5. Отправка уведомлений Feishu

• Настраивание обработки ошибок так, чтобы при возникновении ошибки на любом этапе процесса сборки, сразу же было отправлено уведомление, чтобы избежать влияния на процесс сборки. Ниже представлен пример конфигурации pipeline:

• Вызов вебхук-URL бота Feishu для отправки результатов сборки в чат. При неудачной проверке проекта, можно импортировать результаты проверки в систему, чтобы отправить их разработчикам для исправления.