登录DASP平台,点击导航栏 全局设置—>插件中心,下载SAST-Jenkins插件。
解压从插件中心下载的的压缩包得到后缀为.hpi的插件。
目前Jenkins插件支持最低版本为2.263。已验证CentOS中的Jenkins插件功能,建议在CentOS中使用2.263以上版本的Jenkins进行静态代码扫描。
注意:以下在CentOS中使用jenkins/jenkins:2.289.1-lts-centos7进行代码扫描。
进入Jenkins首页,点击Manage Jenkins进入管理页面
再点击Manage Plugins进入插件管理页面
进入插件管理页面后,选择Advanced表单,修改Update Site的URL为:https://mirrors.tuna.tsinghua.edu.cn/jenkins/updates/update-center.json,点击Submit提交,再点击Check now验证是否能正常访问镜像地址,如果能正常访问,则会出现如Update information obtained:9.9 sec ago的提示信息,如下图所示。
配置好插件镜像地址后,开始正式安装插件,如下图所示:
插件安装成功时如下图所示,可通过关键字在Installed表单中搜索到该插件
完成插件安装后,返回Jenkins首页,点击New Item创建项目。
输入项目名,选择Freestyle project,点击OK完成创建项目。
完成项目创建后,会自动跳转到项目配置页面。
默认源码管理方式为None,此时要手动将源码文件(非压缩包)拖入Jenkins工作目录($JENKINS_HOME/workspace),$JENKINS_HOME可按以下步骤查看。
此处如果想通过Git进行源码管理,则需要自行安装Git相关插件。
点击Build,选择执行sangfor_dasp_sast扫描。
在弹出的表单中填写应用名、用户Token、服务器地址、ApiKey,点击左下角Save完成构建配置。
以上4个字段中,应用名不能包含`~!#$%^&*+\\|{};:\\\"',/<>?等特殊字符,且长度不能超过32位(与项目名相同),Token和ApiKey均为从DASP平台获取到的SecretID,服务器地址为DASP平台的地址。
填写完成后,点击右下角连接测试,若出现连通成功的提示,则说明可以通过Jenkins发起静态代码扫描。
回到Jenkins首页,点击进入刚刚创建的项目,点击Build Now开始构建
构建成功后Jenkins控制台如下所示
左侧点击扫描报告,可以查看本次扫描部分概览信息(该接口预留了后续扩展空间,携带了较多字段,因此耗时较长)
点击超链接即可跳转到DASP平台查看更加详细的资产漏洞信息,并且可以下载Word或Excel格式的扫描报告。
问题1:点击构建,控制台报 自动识别语言失败,没有识别到可检测的编程语言。
问题原因:workspace中未放入与项目名相同的源码目录。
问题2:为什么插件有结果后DASP平台上还是扫描中。
目前平台会对插件扫描后的原始数据再做一些处理再进行落表,会比插件出结果慢一些。
建议使用Chrome浏览器访问!