Внимание! Все настройки системы, описанные в данном разделе, может производить только пользователь с правами Администратора.

Для перехода на вкладку CI/CD необходимо в правом верхнем углу нажать на иконку шестеренки «», а далее на вкладке Настройки выбрать вкладку CI/CD (Рис. 6.18).

Вкладка CI/CD

Рис. 6.18. Вкладка «CI/CD»

На вкладке CI/CD представлены:

  • Токен – интерфейс для получения токена для интеграции в процесс разработки
  • Конструктор строки запуска – конструктор для получения строки запуска в зависимости от типа выбранной выбранных параметров

Действующий токен CI/CD может быть использован в качестве аутентификационных данных и позволяет не авторизоваться и не проходить аутентификацию вручную каждый раз при запуске сканирования приложения. Время жизни такого токена – один год. Таким образом, появляется возможность работы через CLI или через систему дистрибуции.

 

Управление токенами CI/CD

Доступ в раздел настройки имеет только пользователь с правами Администратора.

Работу по тестированию приложений могут производить пользователь с правами Администратора или с правами Пользователя.

Для эффективной работы внутри Организации пользователь с правами Администратора может брать корректный токен в Настройках системы в разделе CI/CD и раздавать Пользователям для проведения сканирования приложения и анализа результатов.

Токен ограничен в правах и может быть использован только для запуска сканирования приложения и получения его результатов.

Время жизни токена – один год. Администратор должен отслеживать процесс перевыпуска и обеспечивать Пользователей корректными CI/CD токенами.

Для работы с токеном предусмотрены следующие действия,

  • Продлить – продлевает время жизни текущего токена на один год и не изменяет его;
  • Заменить – Заменяет значение токена (старый токен инвалидируется);

 

Формирование команды запуска для CLI

Сканирование приложения можно запустить не только из пользовательского интерфейса системы, но также из командной строки. Запуск сканирования из командной строки можно производить только имея валидный токен CI/CD.

Процесс формирования командной строки включает следующие шаги:

  • В параметрах формы выбрать необходимые значения для запуска:
    • Проект
    • Профиль
    • Архитектура
    • Тест-кейс
  • Будет сформирована строка запуска, в которой необходимо заменить месторасположение файла;

Сформированную таким образом командную строку можно использовать при работе через CLI.

Помимо возможности работы через CLI, для запуска сканирования приложений из систем сборки были созданы средства инструментальной поддержки, позволяющие значительно упростить весь процесс работы с приложением.

В частности, существует и доступен по ссылке: https://github.com/Swordfish-Security/stingray_cicd скрипт для работы с системой, написанный на языке программирования Python, так называемый Stingray CI/CD Python script.

Данный скрипт предназначен для встраивания анализа безопасности мобильных приложений в непрерывный процесс разработки (CI/CD). В процессе выполнения скрипта сканируемое приложение отправляется в систему для анализа. На выходе формируется json файл с подробными результатами.

На данный момент поддерживается несколько вариантов запуска скрипта:

  • Анализ приложения, apk-файл которого расположенного локально;
  • Анализ приложения из системы HockeyApp;
  • Анализ приложений из системы AppCenter;

Параметры запуска скрипта зависят от расположения файла apk, отправляемого на анализ. Также существуют обязательные параметры, которые необходимо указывать при любом виде запуска. В их число входит CI/CD токен для доступа.

Скрипт, как и используемый в нем токен, ограничен в правах и может только запустить сканирование и просмотреть его результаты.

Подробнее ознакомиться со скриптом и работой с ним можно по указанной выше ссылке.

Интеграция системы с системами дистрибуции AppCenter и HockeyApp описаны в разделах: «Система дистрибуции AppCenter» и «Система дистрибуции HockeyApp» соответственно.

Предыдущая Организации
Содержание: