Integrando o Syhunt com Rastreadores de Problemas

As informações contidas neste documento se aplicam a versão 6.8.14 do Syhunt Hybrid.

Configurar um rastreador de problema é uma tarefa simples e vulnerabilidades podem ser submetidas para um projeto específico com o clique de um botão.

Integrando com os Problemas (Issues) do GitHub

Em primeiro lugar, se ainda não o fez, você precisa criar um token de acesso pessoal com permissão de acesso a repositórios no GitHub:

  1. Acesse o GitHub.
  2. Na parte superior do canto direito, clique no seu avatar e selecione Settings (Configurações).
  3. No menu de Personal settings (no canto esquero da tela), role pra baixo e selecione Developer settings.
  4. Selecione Personal access tokens e clique no botão Generate new token (Gerar novo token).
  5. Digite uma nota opcional para o token a ser criado.
  6. Escolha o escopo repo.
  7. Clique no botão Generate token (Gerar token) que se encontra no final da página.
  8. Guarde o personal access token gerado em algum lugar seguro. Uma vez que você deixe ou atualize a página, você não será capaz de acessar o token novamente.

Finalmente, você deve adicionar um rastreador do tipo GitHub:

  1. Clique no ícone Issue Trackers na barra da tela inicial. A tela de rastreadores de problemas irá abrir.
  2. Clique no ícone Add Tracker na barra da tela de reastreadores e escolha a opção do menu Add tracker: Github (Adicionar rastreador: GitHub).
  3. Digite um nome de referência para o novo rastreador (como NomeDoMeuProjeto) e pressione OK. Uma janela de preferências irá abrir.
  4. Digite o nome do projeto no GitHub. O formato precisa ser usuario/repositorio.
  5. Preencha seu personal access token do GitHub e clique no botão OK.

O rastreador está pronto! Clique com o botão direito do mouse no item que você acabou de editar na lista e clique na opção Submit Test Issue (Enviar Problema de Teste). Se você configurou tudo corretamente, um problema de teste deve ser criado em https://github.com/[usuario]/[repositorio]/issues. Caso contrário, você verá uma mensagem de erro indicando o que precisa ser feito.

Integrando com os Problemas (Issues) do GitLab

Se você está buscando integrar o Syhunt ao GitLab CI e painel de segurança, por favor leia este outro documento.

Em primeiro lugar, se ainda não o fez, você precisa criar um token de acesso pessoal com permissão de API no GitLab:

  1. Acesse o GitLab.
  2. Na parte superior do canto direito, clique no seu avatar e selecione Settings (Configurações).
  3. No menu User Settings, selecione Access Tokens (Tokens de Acesso).
  4. Escolha um nome e uma data opcional de expiração para o token a ser criado.
  5. Escolha o escopo API.
  6. Clique no botão Create personal access token (Criar token pessoal de acesso).
  7. Guarde o seu personal access token em algum lugar seguro. Uma vez que você deixe ou atualize a página, você não será capaz de acessar o token novamente.

Finalmente, você deve adicionar um rastreador do tipo GitLab:

  1. Clique no ícone Issue Trackers na barra da tela inicial. A tela de rastreadores de problemas irá abrir.
  2. Clique no ícone Add Tracker na barra da tela de reastreadores e escolha a opção do menu Add tracker: GitLab (Adicionar rastreador: GitLab).
  3. Digite um nome de referência para o novo rastreador (como NomeDoMeuProjeto) e pressione OK. Uma janela de preferências irá abrir.
  4. Digite o nome do projeto no GitLab. O formato precisa ser usuario/repositorio.
  5. Digite o URL do servidor GitLab. Por exemplo: https://gitlab.com/ ou URL do seu próprio servidor.
  6. Preencha seu personal access token do GitLab e clique no botão OK.

O rastreador está pronto! Clique com o botão direito do mouse no item que você acabou de editar na lista e clique na opção Submit Test Issue (Enviar Problema de Teste). Se você configurou tudo corretamente, um problema de teste deve ser criado em https://[gitlab_server]/[owner]/[repo]/issues. Caso contrário, você verá uma mensagem de erro indicando o que precisa ser feito.

Integrando com os Problemas (Issues) do JIRA

Em primeiro lugar, você deve adicionar um rastreador do tipo JIRA:

  1. Clique no ícone Issue Trackers na barra da tela inicial. A tela de rastreadores de problemas irá abrir.
  2. Clique no ícone Add Tracker na barra da tela de rastreadores e escolha a opção do menu Add tracker: JIRA (Adicionar rastreador: JIRA).
  3. Digite um nome de referência para o novo rastreador (como NomeDoMeuProjeto) e pressione OK. Uma janela de preferências irá abrir.
  4. Digite um nome válido para o projeto no JIRA.
  5. Digite o URL do servidor JIRA, por exemplo: http://[IP]:8080/
  6. Digite um nome válido de tipo de problema se você não desejar usar o padrão
  7. Preencha suas credenciais do JIRA (nome de usuário e senha) e clique no botão OK.

O rastreador está pronto! Clique com o botão direito do mouse no item que você acabou de editar na lista e clique na opção Submit Test Issue (Enviar Problema de Teste). Se você configurou tudo corretamente, um problema de teste deverá ser criado na página do projeto no JIRA. Caso contrário, você verá uma mensagem de erro indicando o que precisa ser feito.

Enviando Vulnerabilidades para um Rastreador

  1. Após terminar uma varredura, clique em -> View Vulnerabilities através da barra de ferramentas. Alternativamente, você pode clicar em -> Past Sessions (Sessões Anteriores). Clique com o botão direito do mouse na última sessão na lista de sessões e clique na opção do menu View Vulnerabilities (Ver Vulnerabilidades). A aba de detalhes da sessão abrirá.
  2. Marque uma única ou múltiplas vulnerabilidades, clique no botão Send To (como mostrado na imagem abaixo) e então selecione o rastreador para o qual você deseja que as vulnerabilidades sejam enviadas.

O Syhunt também pode enviar automaticamente um resumo das vulnerabilidades identificadas para um rastreador se você fornecer o parâmetro -si ao comando scanurl ou scancode, conforme explicado na documentação da CLI ou, se você estiver usando YML ou Powershell, por meio do parâmetro -tracker. Confira abaixo alguns exemplos.


-- A partir do Powershell (rastreador criado anteriormente)
Start-CodeScan -pfcond "fail-if:risk=mediumup" -tracker "YOURTRACKERNAME"

-- A partir do Powershell (rastreador dinâmico)
Start-CodeScan -pfcond "fail-if:risk=mediumup" -tracker "?app=github###project=user/project###token=YOURTOKEN"

-- De dentro do YML no GitHub's (rastreador dinâmico)
Start-CodeScan -pfcond "fail-if:risk=mediumup" -tracker "?app=github###project=${{ github.repository }}###token=${{ secrets.GITHUB_TOKEN }}"

Para documentação adicional do produto, visite syhunt.com/docs/br

Contato