Syhunt | Integrando o Syhunt no GitHub

Integrando o Syhunt no GitHub

As informa��es contidas neste documento se aplicam a vers�o 6.9.8.2 do Syhunt Hybrid.

Table of Contents

Ativando um Runner do Syhunt

Adicionando o Syhunt ao seu script YML no Actions

Start-DynamicScan - Iniciando uma varredura din�mica

Start-CodeScan - Iniciando uma varredura de c�digo-fonte

Condi��es de aprova��o / reprova��o

Integrando com o Issues do GitHub

Introdu��o

Iniciar varreduras Syhunt de dentro de um script YML do GitHub Actions � simples e direto, permitindo que voc� integre as ferramentas de teste de seguran�a Syhunt Dynamic, Syhunt Code e Syhunt Mobile em seu pipeline de entrega cont�nua. Voc� tamb�m pode configurar os rastreadores de problemas do GitHub no Syhunt, permitindo que as vulnerabilidades sejam enviadas para a �rea de problemas dos projetos.

O script a seguir de exemplo � um YML para o GitHub Actions que verifica o c�digo-fonte do reposit�rio atual, falhando o trabalho se vulnerabilidades m�dias ou altas forem identificadas. Al�m disso, anexa um relat�rio de vulnerabilidade em PDF aos artefatos de trabalho do pipeline.


name: syhunt test
on:
  push:
    branches:
      - main
jobs:
  build:
    runs-on: [self-hosted, Windows, X64]
    steps:
      - uses: actions/checkout@v2
      - run: Start-CodeScan -pfcond 'fail-if:risk=mediumup' -output 'report.pdf'
      - name: 'Syhunt Report'
        uses: actions/upload-artifact@v2
        if: failure()
        with:
         name: syhunt-report
         path: report.pdf
         if-no-files-found: error

Ativando um Runner do Syhunt

O Syhunt Runner � um servi�o de CI que receber� solicita��es de varredura, executar� varreduras e comunicar� os resultados da varredura com o GitHub.

IMPORTANTE: Por motivos de seguran�a e desempenho, � aconselh�vel que o Runner seja instalado em uma m�quina virtual separada ou m�quina f�sica dedicada.

Primeiro, instale com suas configura��es padr�o o Git for Windows, que pode ser baixado em https://gitforwindows.org/
Em segundo lugar, instale com suas configura��es padr�o o Syhunt Hybrid (syhunt-hybrid-7.0.12.0.exe)
Por fim, no GitHub.com, navegue at� a p�gina principal do reposit�rio:
1. Sob o nome do seu reposit�rio, clique em Settings (Configura��es).
2. Na barra lateral esquerda, clique em Actions (A��es).
3. Na barra lateral esquerda, em Actions, clique em Runners
4. Clique em New self-hosted runner (Novo executor auto-hospedado).
5. Selecione o sistema operacional Windows e a arquitetura x64
6. Voc� ver� instru��es mostrando como baixar o aplicativo runner e instal�-lo em sua m�quina.
Siga as instru��es fornecidas para ativar o runner com o token do reposit�rio.
1. Ao executar config.cmd, ser� solicitado a digitar o nome do grupo ao qual o runner ser� adicionado. Pressione enter para o grupo padr�o.
2. Digite um nome para identificar o runner. Exemplo: syhunt
3. Insira um r�tulo para o runner. Exemplo: syhunt
4. Por fim, voc� ver� as mensagens abaixo, que indicam sucesso:
5. v Runner successfully added (Executor adicionado com sucesso)
6. v Runner connection is good (A conex�o com o executor � boa)
7. Agora pressione enter para manter _work como o diret�rio de trabalho.
8. Especifique se deseja executar o runner como um servi�o do Windows (SIM ou N�O)
Agora voc� deve executar run.cmd. Voc� dever� ver a seguinte mensagem:
1. v Connected to GitHub (Conectado ao GitHub)
2. 2022-02-04 19:50:21Z: Listening for Jobs (Ouvindo por Trabalhos)

O Syhunt agora est� pronto para ser chamado de scripts GitHub Actions! Veja exemplos abaixo

Observa��o: um executor auto-hospedado � removido automaticamente do GitHub se n�o estiver conectado ao GitHub Actions por mais de 30 dias. Al�m disso, cada execu��o de fluxo de trabalho � limitada a 72 horas. Se uma execu��o de fluxo de trabalho atingir esse limite, a execu��o de fluxo de trabalho ser� cancelada.

Adicionando o Syhunt ao seu script YML do Actions

Se voc� n�o tiver um arquivo YML de fluxo de trabalho em seu reposit�rio, crie um arquivo como �.github/workflows/blank.yml� no caminho raiz do seu projeto.

Exemplo de SAST - O exemplo de script YML para o Actions do Github a seguir verificar� o c�digo-fonte do reposit�rio atual, falhando o trabalho se vulnerabilidades m�dias ou altas forem identificadas. Al�m disso, ele anexa um relat�rio de vulnerabilidade em PDF aos artefatos de trabalho do pipeline.


name: syhunt test
on:
  push:
    branches:
      - main
jobs:
  build:
    runs-on: [self-hosted, Windows, X64]
    steps:
      - uses: actions/checkout@v2
      - run: Start-CodeScan -pfcond 'fail-if:risk=mediumup' -output 'report.pdf'
      - name: 'Syhunt Report'
        uses: actions/upload-artifact@v2
        if: failure()
        with:
         name: syhunt-report
         path: report.pdf
         if-no-files-found: error

Exemplo de DAST - O exemplo de script YML para o Github Actions a seguir verificar� a aplica��o da Web ativo ap�s entrar em produ��o, falhando o trabalho se vulnerabilidades m�dias ou altas forem identificadas. Al�m disso, ele anexa um relat�rio de vulnerabilidade em PDF aos artefatos de trabalho do pipeline.


name: syhunt test
on:
  push:
    branches:
      - main
jobs:
  build:
    runs-on: [self-hosted, Windows, X64]
    steps:
      - uses: actions/checkout@v2
      - run: Start-DynamicScan -target 'www.productionurl.com' -pfcond 'fail-if:risk=mediumup' -output 'report.pdf'
      - name: 'Syhunt Report'
        uses: actions/upload-artifact@v2
        if: failure()
        with:
         name: syhunt-report
         path: report.pdf
         if-no-files-found: error

Exemplos adicionais:


# Exemplo de SAST - Analisar diret�rio / reposit�rio local
Start-CodeScan -pfcond "medium"

# Exemplo de SAST - Analisar um reposit�rio GIT remoto
$MyProject = @{
  target = 'https://github.com/syhunt/vulnphp.git';
  branch = 'main';
  pfcond = 'medium';
  output = 'report.pdf'
}
Start-CodeScan @MyProject


# Exemplo de DAST - Analisar um URL
$MyWebsite= @{
  target = 'https://www.somewebsite.com';
  pfcond = 'medium';
  output = 'report.pdf'
}
Start-DynamicScan @MyWebsite

A Fun��o Start-DynamicScan

O Syhunt Dynamic deve ser iniciado atrav�s da fun��o Start-DynamicScan(). Os seguintes par�metros devem ser fornecidos ao chamar a fun��o Start-DynamicScan():

target (obrigat�rio) - o URL alvo a ser analisado (ex. http://www.somesite.com)
huntmethod (opcional) - o M�todo de Varredura a ser usado durante a an�lise. Se omitido, o m�todo padr�o ser� usado.
pfcond (opcional) - permite que o script falhe com o c�digo de sa�da adequado se uma determinada condi��o for atendida. Veja abaixo uma lista das condi��es de aprova��o / reprova��o dispon�veis.
tracker (opcional) - o nome do rastreador criado anteriormente ou um rastreador gerado dinamicamente para o qual ser� enviado um resumo das vulnerabilidades identificadas ao final da varredura. Exemplos
output (opcional) - permite definir um nome de arquivo de relat�rio (por exemplo, report.pdf ou report.html).
outputex (opcional) - permite definir um segundo nome de arquivo de sa�da (por exemplo, export.json).
verbmode (opcional) - $ false por padr�o. Se alterado para true, ativa o modo detalhado, permitindo que informa��es de erro e informa��es b�sicas sejam adicionadas ao console.
genrep (opcional) - $ true por padr�o. Se alterado para false, o Syhunt n�o gerar� um arquivo de relat�rio.
redirIO (opcional) - $ true por padr�o. Se alterado para false, informa��es de status em tempo-real do scanner Syhunt n�o ser�o redirecionadas para o console.
timelimit (opcional) - define o tempo m�ximo da varredura (padr�o: sem limite). Caso o tempo seja atingido, a varredura � cancelada. Exemplos: 1d, 3h, 2h30m, 50m

Ao usar os par�metros output ou outputex, todos os formatos de sa�da suportados pelo Syhunt est�o dispon�veis. O relat�rio ou exporta��o ser� salvo no diret�rio de trabalho atual, a menos que seja fornecido um nome de caminho completo.

Exemplos:


# Exemplo 1 - Analisar um URL com uma �nica linha
Start-DynamicScan -target 'https://www.somewebsite.com' -pfcond 'fail-if:risk=mediumup'

# Exemplo 2 - Analisar um URL
$MyWebsite= @{
  target = 'https://www.somewebsite.com';
  pfcond = 'medium';
  output = 'report.pdf'
}
Start-DynamicScan @MyWebsite

A Fun�ao Start-CodeScan

O Syhunt Code deve ser iniciado atrav�s da fun��o Start-CodeScan(). Os seguintes par�metros podem ser fornecidos ao chamar a fun��o Start-CodeScan(), sendo todas eles opcionais:

target - o URL de um reposit�rio GIT ou um diret�rio ou arquivo de c�digo-fonte local a ser verificado. Se o par�metro target for omitido, o diret�rio de trabalho atual ser� verificado.
branch - a ramifica��o do reposit�rio a ser analisada. Se o par�metro branch for omitido, o branch padr�o ser� analisado.
huntmethod - o M�todo de Varredura a ser usado durante a an�lise. Se omitido, o m�todo padr�o ser� usado.
pfcond - permite que o script falhe com o c�digo de sa�da adequado se uma determinada condi��o for atendida. Veja abaixo uma lista das condi��es de aprova��o / reprova��o dispon�veis.
output - permite definir um nome de arquivo de relat�rio (por exemplo, report.pdf ou report.html).
outputex - permite definir um segundo nome de arquivo de sa�da (por exemplo, export.json).
verbmode - $ false por padr�o. Se alterado para true, ativa o modo detalhado, permitindo que informa��es de erro e informa��es b�sicas sejam adicionadas ao console.
genrep - $ true por padr�o. Se alterado para false, o Syhunt n�o gerar� um arquivo de relat�rio.
redirIO - $ true por padr�o. Se alterado para false, informa��es de status em tempo-real do scanner Syhunt n�o ser�o redirecionadas para o console.
timelimit (opcional) - define o tempo m�ximo da varredura (padr�o: sem limite). Caso o tempo seja atingido, a varredura � cancelada. Exemplos: 1d, 3h, 2h30m, 50m

Exemplos:


# Exemplo 1 - Analisando o diret�rio / reposit�rio atual
Start-CodeScan -pfcond "medium"

# Exemplo 2 - Analisando um projeto GIT remoto
Start-CodeScan -target "https://github.com/someuser/somerepo.git" -huntmethod "normal" -pfcond "medium"

# Exemplo 3 - Analisando um diret�rio local espec�fico
Start-CodeScan -target "C:\www\" -huntmethod "normal" -pfcond "medium"

Condi��es de Aprova��o/Reprova��o

A seguir est�o as condi��es de aprova��o / reprova��o atualmente suportadas pelo Syhunt:

high ou fail-if:risk=high - Falha se for encontrada uma vulnerabilidade ou amea�a de alto risco
medium ou fail-if:risk=mediumup - Falha se for encontrada uma vulnerabilidade ou amea�a de risco M�dio ou Alto
low ou fail-if:risk=lowup - Falha se for encontrada uma vulnerabilidade ou amea�a de risco Baixo, M�dio ou Alto

Integra��o com o Issues do GitHub

Configurar um rastreador de problemas � uma tarefa f�cil e as vulnerabilidades podem ser enviadas para um projeto espec�fico com o clique de um bot�o.

Para obter mais detalhes sobre como enviar vulnerabilidades ao rastreador do GitHub, consulte: Enviando vulnerabilidades para um rastreador.

Para documenta��o adicional do produto, visite syhunt.com/docs/br