您当前的位置:首页 > 电脑百科 > 软件技术 > 应用软件

jenkins+Acunetix实现自动化安全测试

时间:2021-06-23 09:31:50  来源:  作者:80周辉

目前主流的开发采用的是devops模式(开发、测试、运维一体化)。随着互联网安全要求越来越高,对网络安全就越发变得重要了。传统的测试工程师主要是对功能、接口、性能方面做测试,而对安全方面测试考虑很少。需要专业的白帽子工程师来实现测试,对人的要求较高。目前提出devsecops模式 也就是增加安全测试这块。

DevSecOps 是一种把安全的最佳实战集成到DevOps的流程里面。 DevSecOps包括创立一种 安全即代码(‘Security as Code’ )的文化,从而在发布开发工程师和安全团队之间,建立一种可以持续的,灵活合作的机制和流程,从而把在传统软件开发流程里面最后由安全测试团队把关扫描的安全工作,左移到整个软件开发的全流程,从而大大降低了应用在上线后出现的安全隐患,也大大加快了上线的速度,同时也让其他非安全团队的软件人员在开发,测试,发布的全过程中,有安全意识,而不是时候补救,甚至大大修改框架

jenkins+Acunetix实现自动化安全测试

 

下面介绍jenkins+Acunetix实现自动化安全测试

1)安装jenkins 关于Acunetix的插件

在jenkins 插件管理市场中 搜索到Acunetix 插件

jenkins+Acunetix实现自动化安全测试

 

安装完成后在已经安装插件列表中会显示

jenkins+Acunetix实现自动化安全测试

 

安装好插件后,重启jenkins 使得插件生效

2)安装Acunetix 证书到 JAVA keystore 中

2.1) Acunetix ca 证书是什么东西,在哪里呢?

使用到Acunetix 会用到https 所以我们需要将Acunetix ca证书安装到jenkins 依赖的jdk java keystore中。

Acunetix on windows

Acunetix ca在哪里呢,下面以windows为例,介绍一下

我这里使用的是
acunetix_14.1.210316110.exe 安装版本,安装后会在D:ProgramDataAcunetixcerts 目录下生成 ca证书

jenkins+Acunetix实现自动化安全测试

 

Acunetix on linux

我使用的是Docker 容器版本的官方的镜像secfa/docker-awvs,官方镜像地址

jenkins+Acunetix实现自动化安全测试

 

容器里面ca 证书在哪呢?目录结构在
/home/acunetix/.acunetix/data/certs

jenkins+Acunetix实现自动化安全测试

 

2.2 jdk 如何导入Acunetix ca 证书呢?

Jenkins on Windows

查找当前jenkins 依赖的jdk. 我们的jdk是windows 环境的,所以我的jre security 目前在

D:developjavajdk1.8.0_211jrelibsecuritycacerts

jenkins+Acunetix实现自动化安全测试

 


jenkins+Acunetix实现自动化安全测试

 

我们使用cmd命令行执行如下命令

keytool -import -trustcacerts -alias AcunetixCA -keystore "D:developjavajdk1.8.0_211jrelibsecuritycacerts" -file D:ProgramDataAcunetixcertsca.cer

解释 通过 keytool 导入 证书 Java keystore 目录“ D:developjavajdk1.8.0_211jrelibsecuritycacerts

导入 目标Acunetix ca “D:ProgramDataAcunetixcertsca.cer

jenkins+Acunetix实现自动化安全测试

 

输入密码 changeit

确认已在Windows上成功安装证书

keytool -list -keystore "D:developjavajdk1.8.0_211jrelibsecuritycacerts" -alias AcunetixCA

jenkins+Acunetix实现自动化安全测试

 

输入密码 changeit

显示如下信息

jenkins+Acunetix实现自动化安全测试

 

Jenkins on Linux

从命令提示符运行以下命令:

keytool -import -trustcacerts -alias AcunetixCA -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.252.b09-2.el8_1.x86_64/jre/lib/security/cacerts -file /home/acunetix/.acunetix/data/certs/ca.cer

确认已在Windows上成功安装证书

keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.252.b09-2.el8_1.x86_64/jre/lib/security/cacerts -alias AcunetixCA

 

3)jenkins 配置Jenkins and Acunetix

在jenkins 中 manage Jenkins ——Configure System

jenkins+Acunetix实现自动化安全测试

 

在Acunetix API Key 增加Acunetix key

点击“添加” 按钮 设置Jenkins 凭据提供者

jenkins+Acunetix实现自动化安全测试

 

Acunetix key 是从哪获取的呢?

登陆Acunetix 平台在点击profile

jenkins+Acunetix实现自动化安全测试

 


jenkins+Acunetix实现自动化安全测试

 

通过复制生成的api key 列如
1986ad8c0a5b3df4d7028d5f3c06e936cf9fc21aaf2a947ff88827667d8186740

复制的到上面Jenkins 凭据提供者中的secret 中

 

点击Test Connection 验证配置是否成功

jenkins+Acunetix实现自动化安全测试

 

4)jenkins 项目中配置Acunetix实现自动安全测试

新建ddd项目,添加acunetix scan 配置

1 Scan Type

这里面根据扫描的类型(完全扫描、扫描高风险漏洞、扫描XSS漏洞、扫描SQL注入漏洞、弱口令检测、Crawl Only,仅爬虫、恶意软件扫描)等属性进行扫描

jenkins+Acunetix实现自动化安全测试

 

2 Scan Target

这个里面是根据acunetix 平台中目前存在的目标项列出,我们根据自己的实际项目选择一个目标项目

jenkins+Acunetix实现自动化安全测试

 

3.Fail the build if threat level is

这个根据自己实际项目来(不要使构建失败、高危、中危和高位、低位中危高危)

目前我们设置有漏洞也不阻止构建失败

jenkins+Acunetix实现自动化安全测试

 

4.Generate Report

这里面会根据报告模版创建各种报告,目前我们默认就选择developer 就可以了

jenkins+Acunetix实现自动化安全测试

 

这里面报告和acunetix平台报告相对应

jenkins+Acunetix实现自动化安全测试

 


jenkins+Acunetix实现自动化安全测试

 

设置好点击保存

5)jenkins 项目中实现自动安全测试

点击项目构建,完成项目 编译、打包、单元测试、接口测试、安全测试等。

我这里只是设置了安全测试 其他这里就不做重点介绍。

jenkins+Acunetix实现自动化安全测试

 

构建后自动生成安全测试报告

 

以上,我们通过jenkins+Acunetix 实现了 安全自动化测试,这样我们再结合其他单元测试、自动化接口测试,就实现了简单的DevSecOps功能了.

jenkins+Acunetix实现自动化安全测试

 



Tags:jenkins   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
第一步、部署环境1、安装nodeJs1、下载nodewget https://nodejs.org/dist/v16.8.0/node-v16.8.0-linux-x64.tar.xz2、解压压缩包xz -d node-v8.11.2-linux-x64.tar.xztar -x...【详细内容】
2021-09-06  Tags: jenkins  点击:(70)  评论:(0)  加入收藏
前提条件:已成功安装JDK。官网下载地址: https://www.jenkins.io/download 二、安装1、jenkins安装包安装(1)直接双击运行已经下载好的jenkins.msi安装包 (2)点击"运行" (3)点击"Nex...【详细内容】
2021-06-23  Tags: jenkins  点击:(116)  评论:(0)  加入收藏
目前主流的开发采用的是devops模式(开发、测试、运维一体化)。随着互联网安全要求越来越高,对网络安全就越发变得重要了。传统的测试工程师主要是对功能、接口、性能方面做测试...【详细内容】
2021-06-23  Tags: jenkins  点击:(112)  评论:(0)  加入收藏
Jenkins 是目前最常用的持续集成工具,拥有近50%的市场份额,他还是很多技术团队的第一个使用的自动化工具。由此可见他的重要性!这份Jenkins宝典从入门介绍到结合Docker+SpringC...【详细内容】
2021-06-09  Tags: jenkins  点击:(145)  评论:(0)  加入收藏
在当今互联网行业乃至一些大厂,大部分公司都采用敏捷项目管理模式来管理项目,在敏捷十二条宣言中有一条是这样说:“我们的最高目标是,通过尽早和持续地交付有价值的软件来满足...【详细内容】
2021-04-30  Tags: jenkins  点击:(165)  评论:(0)  加入收藏
以下是详细的步骤1. JDK \Jmeter \ Ant安装:1.1.安装JDK:双击jdk-7u80-windows-x64.exe安装,默认安装到C:\ProgramFiles\Java目录1.2.安装Jmeter:在我的电脑—E盘(建议与...【详细内容】
2021-04-16  Tags: jenkins  点击:(224)  评论:(0)  加入收藏
在互联网时代,对于每一家公司,软件开发和发布的重要性不言而喻,目前已经形成一套标准的流程,最重要的组成部分就是持续集成(CI)及持续部署、交付(CD)。本文基于Jenkins+Docker+Git实...【详细内容】
2021-03-19  Tags: jenkins  点击:(259)  评论:(0)  加入收藏
在用python做自动化测试时,我们写好代码,然后需要执行才能得到测试报告,这时我们可以通过 Jenkins 来进一步完成自动化工作。借助Jenkins,我们可以结合 Git/SVN 自动拉取代码,通...【详细内容】
2021-02-19  Tags: jenkins  点击:(230)  评论:(0)  加入收藏
Jenkins是一款开源的CI&CD软件, 提供超过1000个插件来支持构建、部署、自动化, 满足任何项目的需要。JenkinsJenkins基于Java环境,可以部署在windows/Mac OS/linux上,通过其网页...【详细内容】
2020-11-06  Tags: jenkins  点击:(610)  评论:(0)  加入收藏
相信vue很多人都已经很熟悉了,利用脚手架很容易搭建一个vue项目 但项目多了以后每次部署测试环境就相当麻烦,还容易出错 所以趁这两天不忙,研究一下jenkins,也总算是入门了 jen...【详细内容】
2020-10-17  Tags: jenkins  点击:(92)  评论:(0)  加入收藏
▌简易百科推荐
ACDSee Pro 2.5 和ACDSee 2009(也就是 ACDSee 11)这两个版本,虽然图标最丑,但却是最适合目前使用的版本。(以前的ACDSee 3.1是第三方改装版,现在出现不稳定了,经常提示插件错误,虽...【详细内容】
2021-12-27  周星骋Cheng    Tags:ACDSee   点击:(2)  评论:(0)  加入收藏
IT之家 12 月 23 日消息,百度地图今日宣布,第二代车道级导航正式上线。据介绍,百度地图第二代车道借助北斗 + 5G,在实现全程车道级导航效果的基础上,全面升级最优车道推荐、全 /...【详细内容】
2021-12-24  IT之家    Tags:百度地图   点击:(10)  评论:(0)  加入收藏
推荐12款不用安装就能免费用的神仙软件,每一款都是百里挑一! 一、文件存储与传输1.不限量网盘地址:https://transferkit.io/一个在线云存储网盘,它提供了不限量的云存储空间,单文...【详细内容】
2021-12-17  牛片网    Tags:软件   点击:(15)  评论:(0)  加入收藏
古人说:凡事预则立不预则废,对于我们当代人来说,做好工作计划,更是职场人高效工作的第一步,所以计划对于我们的重要性不言而喻…… 工作表格模板汇总正是因为有了工...【详细内容】
2021-12-15  吴六柒    Tags:工作表格   点击:(32)  评论:(0)  加入收藏
当我们浏览知乎、Youtube、贴吧、CSDN等等,总会遇到服务商一些广告;复制文章的时候,剪切板总是自带一些版权信息;还有一些网页配色很亮,眼睛看着很不舒服。反正就是各种不爽。给...【详细内容】
2021-12-08  小皮虾Pro    Tags:浏览器   点击:(27)  评论:(0)  加入收藏
来源:AirPython作者:星安果 1. 前言大家好,我是安果!之前推荐过很多优秀的 Web 自动化工具,比如:Selenium、Helium、Cypress、Pyppeteer 等利用它们实现自动化的前提是必须安装依...【详细内容】
2021-11-30  CDA数据分析师    Tags:Automa   点击:(30)  评论:(0)  加入收藏
概述superset是由Airbnb开源的轻量级BI分析工具。主要有三大功能:使用数据可视化来探索你的数据,通过交互式的Dashboard来查看你的数据,通过Sql Lab来编写sql查询你的数据。特...【详细内容】
2021-11-30  新视像    Tags:Superset   点击:(21)  评论:(0)  加入收藏
媒体爆料称:近期,老牌音乐播放器Winamp宣布回归,官方网站也大改后重新上线。官方表示:不只是简单更新而是全面重制。新的Winamp 将推出适用于 Windows、macOS 和移动平台的多合...【详细内容】
2021-11-26    中关村在线  Tags:Winamp   点击:(22)  评论:(0)  加入收藏
新版高德地图上线 ADAS 预警导航功能,借助视觉 AI 技术,可智能识别前方车辆、行人,并提供碰撞预警、车道偏离等多种安全提醒,防止风险的发生。 在小联的调研中,只有6%的车机体验...【详细内容】
2021-11-23  手机互联    Tags:高德地图   点击:(143)  评论:(0)  加入收藏
朋友委托我帮忙看看可用邮箱大全有哪些?好用的企业邮箱是多少?他公司要开通企业邮箱。相信很多公司在考虑开通企业邮箱时,都会遇到这样的问题,企业邮箱哪个好?怎样选择合适的企业...【详细内容】
2021-11-11  超级打工人    Tags:企业邮箱   点击:(30)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条