Ivo Dias
Posted on January 4, 2023
Para construirmos um pipeline de validação no Azure, vamos precisar inicialmente ter em mãos as credenciais necessárias, pode saber como obtê-las aqui.
Pensando no fluxo que vamos adotar, começamos com o empacotamento dos arquivos necessários para a análise, conforme o guia de empacotamento. Isso varia de acordo com a linguagem do projeto que vamos analisar.
Ao iniciar o nosso fluxo, vamos criar um pacote zipando os arquivos necessários e atribuindo um nome qualquer, sendo que em nosso exemplo vamos utilizar o número de build:
- task: ArchiveFiles@2
inputs:
rootFolderOrFile: "$(Agent.BuildDirectory)"
includeRootFolder: true
archiveType: "zip"
archiveFile: "$(Build.ArtifactStagingDirectory)/$(Build.BuildId).zip"
replaceExistingArchive: true
displayName: "Criando pacote para análise"
Nosso próximo passo é adicionar o SCA em nossa análise.
Um ponto interessante dele, é que não é preciso aguardar o build completar para utilizá-lo, como vai ser preciso no Pipeline Scan, então caso o projeto seja feito com uma linguagem compilada, pode paralelizar essa etapa com a de build.
Para implementar o SCA, vamos precisar receber a variável com a credencial e rodar o agente na pasta onde tem o arquivo com as informações dos componentes de terceiros, isso é algo que varia conforme a linguagem e pode consultar os detalhes aqui.
Em YAML, podemos fazer dessa forma:
- bash: |
cd $(Pasta_Projeto)
export SRCCLR_API_TOKEN=$(SRCCLR_API_TOKEN)
curl -sSL https://download.sourceclear.com/ci.sh | bash -s – scan --update-advisor --allow-dirty
displayName: "Veracode SCA"
Caso queira consultar todos os parâmetros disponíveis, consulte essa documentação.
Depois da configuração do SCA, precisamos configurar o Pipeline Scan. O processo é basicamente fazer o download de um zip com ele do site da Veracode e então descompactar:
- bash: |
apt-get install unzip
curl -O -L https://downloads.veracode.com/securityscan/pipeline-scan-LATEST.zip && unzip pipeline-scan-LATEST.zip -d $(Build.ArtifactStagingDirectory)
displayName: "Download Veracode Pipeline Scanner"
Após esse download, podemos utilizá-lo. Em nosso desenho, vamos utilizar como validador uma política que criamos dentro do Portal da Veracode, então antes do scan de fato, vamos fazer o download desse arquivo e política e passar ele como um parâmetro para a análise.
As credenciais que obtemos vão ser utilizadas dentro de duas variáveis, Veracode ID e Veracode Key.
Em YAML ficará assim:
- bash: |
export VERACODE_ID=$(VERACODE_ID)
export VERACODE_KEY=$(VERACODE_KEY)
echo "Downloading policy from Veracode"
java -jar $(Build.ArtifactStagingDirectory)/pipeline-scan.jar --veracode_api_id $(VERACODE_ID) --veracode_api_key $(VERACODE_KEY) --request_policy="Veracode Recommended Very High + SCA"
echo "Running Veracode Scan"
java -jar $(Build.ArtifactStagingDirectory)/pipeline-scan.jar --veracode_api_id $(VERACODE_ID) --veracode_api_key $(VERACODE_KEY) --file "$(Build.ArtifactStagingDirectory)/$(Build.BuildId).zip" --issue_details true --policy_file="Veracode_Recommended_Very_High_+_SCA.json"
echo "Save Veracode results"
mkdir results_veracode
mv results.json results_veracode/results.json
mv filtered_results.json results_veracode/filtered_results.json
displayName: "Run Veracode Pipeline Scan"
Por fim, vamos publicar os resultados obtidos criando um artefato com eles. Assim ao final de cada execução vamos ter um relatório sendo gerado:
- task: PublishPipelineArtifact@1
displayName: "Publicando Resultados Veracode"
inputs:
targetPath: '$(Build.SourcesDirectory)/results_veracode'
artifact: 'Veracode Analysis'
publishLocation: 'pipeline'
Posted on January 4, 2023
Join Our Newsletter. No Spam, Only the good stuff.
Sign up to receive the latest update from our blog.