No post Como realizar uma análise dinâmica (DAST) com a Veracode em aplicações não publicadas? entendemos a importância e o porquê de se realizar uma análise DAST dentro de um ambiente pré-produção.
Nesse post, iremos fazer o passo a passo de como configurar o agent ISM em servidores Linux.
Pré Requisitos Técnicos
1. Sistema Operacional: Linux RHEL, CentOS, Ubuntu, Debian
2. Hardware: 8 GB RAM; 4 GB Livres de Disco
3. Software: Java JRE 8+ LTS
4. Rede:
- Conexão confiável do servidor endpoint com as aplicações internas a serem testadas
- 443 do servidor aberta para saída
- Garantir que o endereço 34.195.146.191 esteja acessível pela aplicação, ele é a origem das requisições da análise dinâmica
- É recomendado desabilitar IPS, WAF e outras camadas que possam interferir nos resultados do DAST originados do IP da Veracode (citado acima).
5. O usuário que fará a criação do endpoint e download do executável, deverá ter uma dessas Roles permissions: **Administrator** ou **Security Lead**
Configuração do Internal Scanning
- No menu de configuração ícone de engrenagem na parte superior da plataforma Veracode, clique em Internal Scanning Management
- Clique em Configure Internal Scanning
- Insira o nome e a descrição do gateway. Então clique Next
- Insira o nome e a descrição do endpoint que você deseja conectar a este gateway
- Selecione Other
- Clique em Next
Download e Instalação do endpoint ISM
- Clique em Download para baixar o arquivo ZIP contendo o instalador
- Mova o arquivo ZIP baixado para dentro do servidor onde ele será executado
- Crie um pasta específica e faça a extração do ZIP dentro dela
- O endpoint será um arquivo .jar
Execução do endpoint ISM
- Ao seguir os passos anteriores de criação do endpoint, ele irá te mostrar todos os comandos necessários para execução como a imagem a seguir:
- A estrutura se baseia em alguns cenários que você deverá avaliar e escolher o que se adequa melhor na sua infraestrutura.
- Se você não estiver usando um proxy da Web para acessar a Internet:
java -jar Veracode_ISM_Endpoint_{yourendpointname}.jar
- Se você estiver usando um proxy da web não autenticado:
java -Dhttps.proxyHost={your_proxy_host} -Dhttps.proxyPort={your_proxy_port} -jar Veracode_ISM_Endpoint_{your_endpoint_name}.jar
- Se você estiver usando um proxy da web autenticado, inicie o endpoint:
java -Dhttps.proxyHost={your_proxy_host} -Dhttps.proxyPort={your_proxy_port} -jar Veracode_ISM_Endpoint_{your_endpoint_name}.jar --authenticate
- Depois de iniciar o endpoint para um proxy da web autenticado, execute o endpoint:
java -Dhttps.proxyHost={your_proxy_host} -Dhttps.proxyPort={your_proxy_port} -jar Veracode_ISM_Endpoint_{your_endpoint_name}.jar
- Se você deseja usar apenas o proxy da web para comunicação entre o endpoint e o gateway:
java -Dhttps.proxyHost={your_proxy_host} -Dhttps.proxyPort={your_proxy_port} -jar Veracode_ISM_Endpoint_{your_endpoint_name}.jar --proxygatewayonly
Clique em Close
O novo gateway e endpoint agora aparecem na página Internal Scanning Management como as imagens de exemplo abaixo:
Se o endpoint não conseguir se conectar ao gateway, sua organização pode precisar adicionar o endereço IP do gateway ou o nome de domínio à sua lista de permissões. O endereço IP e o domínio são visíveis na página Internal Scanning Management e na página do gateway.
O gateway pode ter um status de Inicializando por alguns minutos depois de criá-lo. O endpoint tem um status de Pendente até que você o implemente com sucesso. Quando você implementa com sucesso o endpoint, ele tem um status de Ready.
Próximo passo
Após seguir o procedimento de criação do gateway, download e execução do endpoint, você estará pronto para iniciar a configuração DAST pelo portal utilizando o ISM que você pode seguir conforme os tutoriais abaixo:
Conteúdos em Português
Conteúdos em Inglês
Top comments (0)