Integrando o Syhunt com Rastreadores de Problemas
As informações contidas neste documento se aplicam a versão 7.2 do Syhunt Hybrid.
Índice
| Integrando com o GitHub Issues |
| Integrando com o GitLab Issues |
| Integrando com o JIRA Issues |
| Enviando Vulnerabilidades para um Rastreador |
Configurar um rastreador de problemas é uma tarefa simples e as vulnerabilidades podem ser enviadas para um projeto específico com apenas um clique.
Integrando com o GitHub Issues
Primeiramente, caso ainda não tenha feito isso, você precisará criar um token de acesso pessoal com permissão de acesso ao repositório:
- Faça login no GitHub.
- No canto superior direito, clique no seu avatar e selecione Settings.
- No menu Personal settings (lado esquerdo da tela), role para baixo e selecione Developer settings.
- Selecione Personal access tokens e clique no botão Generate new token.
- Insira uma nota opcional para o token.
- Escolha o escopo repo.
- Clique no botão Generate token.
- Guarde o token de acesso pessoal em um local seguro. Após sair ou atualizar a página, não será possível acessá-lo novamente.
Em seguida, você precisará adicionar um rastreador do GitHub:
- Acesse a área de Conectores da interface web.
- Clique no botão Adicionar.
- Insira um nome de referência para o novo rastreador (como NomeDoProjeto).
- Selecione o tipo Github.
- Clique no botão Criar e, em seguida, em Fechar.
- Clique no rastreador recém-criado na lista. A tela de preferências do rastreador será aberta.
- Insira o nome do projeto no GitHub. O formato deve ser owner/repo.
- Insira seu token de acesso pessoal do GitHub e clique no botão Salvar.
- O rastreador está pronto! Abra as configurações do rastreador novamente e clique no botão Run Test para testá-lo.
Se tudo estiver configurado corretamente, um item de problema de teste será criado em https://github.com/[owner]/[repo]/issues. Caso contrário, uma mensagem de erro será exibida com uma indicação do que precisa ser corrigido.
Integrando com o GitLab Issues
Se você deseja integrar o Syhunt com a CI do GitLab e o painel de segurança, por favor leia este outro documento.
Primeiramente, caso ainda não tenha feito isso, você precisará criar um token de acesso pessoal com permissão de acesso à API:
- Faça login no GitLab.
- No canto superior direito, clique no seu avatar e selecione Settings.
- No menu User Settings, selecione Access Tokens.
- Escolha um nome e uma data de expiração opcional para o token.
- Escolha o escopo API.
- Clique no botão Create personal access token.
- Guarde o token de acesso pessoal em um local seguro. Após sair ou atualizar a página, não será possível acessá-lo novamente.
Em seguida, você precisará adicionar um rastreador do GitLab:
- Acesse a área de Conectores da interface web.
- Clique no botão Adicionar.
- Insira um nome de referência para o novo rastreador (como NomeDoProjeto).
- Selecione o tipo GitLab.
- Clique no botão Criar e, em seguida, em Fechar.
- Clique no rastreador recém-criado na lista. A tela de preferências do rastreador será aberta.
- Insira o nome do projeto no GitLab. O formato deve ser owner/repo.
- Insira a URL do servidor GitLab, ex.:
https://gitlab.com/ou a URL do seu próprio servidor. - Insira seu token de acesso pessoal do GitLab e clique no botão Salvar.
- O rastreador está pronto! Abra as configurações do rastreador novamente e clique no botão Run Test para testá-lo.
Se tudo estiver configurado corretamente, um item de problema de teste será criado em https://[gitlab_server]/[owner]/[repo]/issues. Caso contrário, uma mensagem de erro será exibida com uma indicação do que precisa ser corrigido.
Integrando com o JIRA Issues
Primeiramente, você precisará adicionar um rastreador do JIRA:
- Acesse a área de Conectores da interface web.
- Clique no botão Adicionar.
- Selecione o tipo GitLab.
- Clique no botão Criar e, em seguida, em Fechar.
- Clique no rastreador recém-criado na lista. A tela de preferências do rastreador será aberta.
- Insira um nome de referência para o novo rastreador (como NomeDoProjeto).
- Selecione o tipo JIRA.
- Clique no rastreador recém-criado na lista. A tela de preferências do rastreador será aberta.
- Insira um nome de projeto JIRA válido.
- Insira a URL do servidor JIRA, ex.:
http://[IP]:8080/ - Insira um nome de tipo de problema válido caso não queira usar o nome padrão.
- Insira suas credenciais do JIRA (usuário e senha) e clique no botão Salvar.
- O rastreador está pronto! Abra as configurações do rastreador novamente e clique no botão Run Test para testá-lo.
Se tudo estiver configurado corretamente, um item de problema de teste será criado na página do seu projeto no JIRA. Caso contrário, uma mensagem de erro será exibida com uma indicação do que precisa ser corrigido.
Enviando Vulnerabilidades para um Rastreador
- Durante uma varredura em andamento, acesse a aba Vulnerabilidades. Como alternativa, você pode ir até a área de Varreduras, abrir uma varredura na lista e acessar a aba Vulnerabilidades.
- Marque uma ou mais vulnerabilidades, clique no botão Enviar Para (conforme mostrado na imagem abaixo) e selecione o rastreador para o qual deseja enviar as vulnerabilidades.
O Syhunt também pode enviar automaticamente um resumo das vulnerabilidades identificadas para um rastreador:
- Se configurado na tela de agendamento
- Se o parâmetro -tk for fornecido ao comando scanurl ou scancode, conforme explicado na documentação da CLI
- Se estiver usando YML ou Powershell, através do parâmetro -tracker. Exemplo:
-- From Powershell (previously created tracker)
Start-CodeScan -pfcond "medium" -tracker "YOURTRACKERNAME"
-- From Powershell (dynamic tracker)
Start-CodeScan -pfcond "medium" -tracker "?app=github###project=user/project###token=YOURTOKEN"
-- Within GitHub's YML (dynamic tracker)
Start-CodeScan -pfcond "medium" -tracker "?app=github###project=${{ github.repository }}###token=${{ secrets.GITHUB_TOKEN }}"
Ao fornecer IDs de preferência relacionados ao rastreador através do parâmetro -tk ou -tracker, é necessário usar versões abreviadas de seus nomes (conforme mostrado abaixo). Se um ID de preferência de rastreador não estiver listado abaixo com um nome abreviado equivalente, a configuração específica não está disponível para ser definida ou modificada através dos parâmetros -tk ou -tracker.
| Nome Abreviado | Configuração associada pelo ID de preferência | Tipo |
| app | tracker.defaultapp | string |
| project | tracker.project.name | string |
| token | tracker.auth.token.encrypted | string |
| from | tracker.message.from | string |
| to | tracker.message.tolist | string |
| subject | tracker.message.subject | string |
| notifyonfailonly | tracker.notifyonfailonly | boolean |
| apiurl | tracker.api.url |
Relacionado ao DefectDojo:
| Nome Abreviado | Configuração associada pelo ID de preferência | Tipo |
| producttypename | tracker.scan.producttypename | string |
| testtitle | tracker.scan.testtitle | string |
| engagementname | tracker.scan.engagementname | string |
| productname | tracker.scan.productname | string |
| minseverity | tracker.scan.minseverity | string |
| pushtojira | tracker.scan.pushtojira | boolean |
| verified | tracker.scan.verified | boolean |
| closeoldfindings | tracker.scan.closeoldfindings | boolean |
| skipduplicates | tracker.scan.skipduplicates | boolean |
| active | tracker.scan.active | boolean |
| autocreatecontext | tracker.scan.autocreatecontext | boolean |
Para documentação adicional do produto, visite syhunt.com/docs/br