StrikeOne Docs

Jenkins

Introducción

Un test puede ser realizado de manera externa autenticando una cuenta de StrikeOne Admin desde Jenkins y llamando al orquestrador de tests con los parámetros apropiados. El ejemplo de más abajo muestra una manera de ejecutar tests de forma externa, y de solo terminar el stage (con éxito, o con fallo) si el test se completó o no.

Ejecución Remota de un Test

Introducción

Para ejecutar un test, usted requiere de un token de autorización. Usted puede generar un API Token desde el apartado de Integraciones de su perfil de StrikeOne Admin. El token de autorización permitirá realizar llamadas subsecuentes a otros endpoints.

Después, se debe llamar al orquestrador de tests. Esta request POST requiere un body que incluya el campo externalData que contenga los campos testName, parsedDomainId, parsedScanId y tool. Ambas IDs parseadas para el dominio y el escaneo se pueden obtener directamente yendo a la pestaña de Dominios y de Escaneos de un activo.

Los siguientes valores son válidos para el campo tool:

  • openvas
  • owasp_zap
  • dep_check
  • nuclei
  • gitleaks

IMPORTANTE

Algunas herramientas requieren, o aceptan, más argumentos para su ejecución. La lista es la siguiente:

  • OWASP Dependency Check (dep_check) y GitLeaks (gitleaks) requieren un objeto toolData adicional que sea includo además de externalData. Este objeto contendrá el campo projectUrl (la URL del repositorio, incluyendo el usuario y el token), projectName (el nombre del repositorio) y projectRepo (la rama a clonar, si se está usando curl el campo es opcional).

  • Nuclei (nuclei) acepta un objeto toolData adicional que sea incluido además de externalData. Este objeto puede contener el campo templates que corresponde a un string con la lista de templates a utilizar por Nuclei. Este campo es concatenado al argumento -nts para ser utilizado por Nuclei al ejecutarse.

Si el test fue creado con éxito, /api/vm/tests/external/execute retornará un código 200. Si desea asegurarse de que el stage de Jenkins solo se complete (o falle) dependiendo del estado final del test, puede realizar una llamada adicional a /api/vm/tests/external/status/:testId usando el Test ID retornado por el endpoint de ejecución para revisar si el test está completo, o ha fallado. En el ejemplo de más abajo, el estado del test se valida cada 60 segundos.

Requisitos

El stage de ejemplo requiere el plugin de httpRequest instalado en Jenkins. Adicionalmente, jsonSlurperClassic necesitará ser autorizado para correr el script de manera correcta. Puede ejecutar el script una vez para que la autorización aparezca en la lista correspondiente.

Ejemplo de Stage con Scripted Pipeline

import groovy.json.JsonSlurperClassic

node {

    env.NODEJS_HOME = "${tool 'nodejs_14.18.0'}"
    env.PATH = "${env.NODEJS_HOME}/bin:${env.PATH}"

    environment {
        SO_CREDENTIALS = credentials('so_api_token')
    }

    stage('Clean Workspace') {
        cleanWs()
    }

    stage('SCM') {
        checkout scm
    }

    stage('StrikeOne Admin Analysis') {
            withCredentials([string(credentialsId: 'so_api_token', variable: 'SO_API_TOKEN')]) {

                def toJson = {
                    input ->
                    groovy.json.JsonOutput.toJson(input)
                }

                def testBody = [
                    externalData: [
                        testName: 'Test iniciado desde Jenkins',
                        parsedDomainId: '192079240',
                        parsedScanId: '192079369',
                        tool: 'owasp_zap'
                    ]
                ]

                // EXECUTE VM TEST
                def testRes = httpRequest contentType: 'APPLICATION_JSON', httpMode: 'POST', requestBody: toJson(testBody), customHeaders: [[name:'Authorization', value: "Bearer $SO_API_TOKEN"]], url: 'https://assessment.strikeone.io/api/vm/tests/external/execute'
                def testJson = new JsonSlurperClassic().parseText(testRes.content)
                def testId = testJson.payload.testId

                def maximumChecks = 30

                def checkTestStatus = {
                    String test ->

                    if (maximumChecks > 30) {
                        echo "StrikeOne Vulnerability Management test took too long to complete."
                        return true
                    }

                    sleep 60

                    def statusRes = httpRequest httpMode: 'GET', customHeaders: [[name:'Authorization', value: "Bearer ${SO_API_TOKEN}"]], url: "https://assessment.strikeone.io/api/vm/tests/external/status/${test}"
                    def statusJson = new JsonSlurperClassic().parseText(statusRes.content)
                    if (statusJson.payload.status == 'done') {
                        echo "StrikeOne Vulnerability Management test completed."
                        return true
                    }

                    if (statusJson.payload.status == 'failed') {
                        error "StrikeOne Vulnerability Management test failed."
                    }

                    maximumChecks++

                    checkTestStatus(test)
                }

                checkTestStatus(testId)

            }

        }
}
Last Updated: