Forem: Ivo Dias

Veracode & AzDevOps: Trabalhando com Task Groups

Ivo Dias — Thu, 01 Feb 2024 18:32:09 +0000

O recurso de Task Groups pode ser muito útil para agilizar implementações. Nossa ideia com esse artigo é trabalhar com dois já prontos, para os cenários onde temos Frontends em JavaScript e Backends em .NET.
Sempre recomendamos a leitura do guia de empacotamento e do nosso GitHub com exemplos, para otimizar o processo e modifica-lo caso tenha uma necessidade diferente da que temos nesse exemplo.

Importando os TGs
Em nosso REPO, já temos os dois modelos que vamos utilizar prontos:

.NET (PRD/SB)
JS (PRD/SB)

O fluxo deles vai ser bem parecido:

Criar o pacote dos arquivos para analise
Iniciar o scan com o Wrapper
Fazer a analise SCA e retornar os resultados para o Pipeline
Fazer a analise SAST e retornar os resultados para o Pipeline

A principal diferença é que no caso do .NET vamos empacotar apenas as DLLs e PDBs, conforme o guia de empacotamento.

Um outro ponto principal é que vamos ter as versões PRD e SB:
PRD -> Usamos sempre que é o scan do que vai subir para produção
SB -> Para todos os outros casos

Por exemplo, caso eu tenha três ambientes (DEV, HML e PRD) organizados em pipelines distintos, eu vou utilizar o TG de PRD para o respectivo e o SB para DEV e HML. Com isso, nossos resultados na plataforma vão ficar organizados.

Parâmetros dos TGs
Nos dois modelos de TGs, vamos ter em comum as seguintes variáveis:

caminhoPacote -> Caminho do pacote criado para a analise
veracodeAppProfile -> Nome do projeto
VeracodeID -> Credencial da Veracode
VeracodeKey -> Credencial da Veracode
VeracodeSCA -> Credencial do SCA

Para os TGs de Sandbox (SB), vamos ter uma extra:

nomeAmbiente -> Onde colocamos o nome do ambiente (DEV, QA, HML..)

Você pode deixar as variáveis já definidas no próprio TG (por padrão a de caminhoPacote já vem) ou gerar um grupo de variáveis para alimenta-las.

Como utilizar?
Importe os TGs para o seu ambiente do Azure conforme a documentação da Microsoft, depois em seu pipeline, busque por ele como se fosse uma Task.

Esses TGs de modelo foram criados para Linux/Mac, mas é possível utiliza-los em Windows com pequenas modificações.

Credenciais do Veracode SCA

Ivo Dias — Mon, 27 Nov 2023 20:59:26 +0000

Na tela inicial do portal da Veracode, vamos na seção "Scans & Analysis" e selecionamos "Software Composition Analysis":

Nessa nova tela, selecionamos a aba "Agent-Based Scan", clicamos no botão "Actions" e selecionamos "Create Workspace":

Informamos um nome para esse ambiente e caso seja necessário vincular ele a um time, após digitar o nome clicamos em "More Options" e informamos o time, caso não seja necessário apenas clicamos em "Create".

A tela de configuração do agente vai ser aberta, nela podemos seguir guias específicos sobre como gerar e configurar o agente em varias ferramentas e sistemas. Como nosso objetivo é apenas pegar a credencial para utilizar a solução, podemos clicar em qualquer um, mas recomendo para agilizar que clique em "Jenkins / Hudson" e depois em "Create Agent & Generate Token":

Conforme as orientações que vemos na tela, para autenticar com esse valor vamos precisar adiciona-lo a uma variável chamada SRCCLR_API_TOKEN independente de qual seja a ferramenta que vai implementar.

Ativando Reusable Component

Ivo Dias — Wed, 05 Jul 2023 13:57:00 +0000

Antes que os componentes reutilizáveis do SD Elements sejam disponibilizados para uso em projetos, os administradores devem habilitar o recurso. Esta é uma operação única e é necessária apenas para a instância do SD Elements na qual você está experimentando o recurso Reusable Components.

Pré-requisitos:
O usuário tem a permissão Organization → Manage features.

Passos:

Navegue até a guia System (ícone de engrenagem).
Selecione Features.
Marque a caixa de seleção Reusable Components.
Clique em Salvar.

O recurso Componentes reutilizáveis agora está ativado e disponível para uso nesta instância do SD Elements.
Acesse o recurso em Library → Components.

Criando uma pergunta personalizada

Ivo Dias — Wed, 05 Jul 2023 13:57:00 +0000

Mesmo com a imensa biblioteca que já vem por padrão na ferramenta, e que está sendo constantemente atualizada, pode ser necessário criar uma pergunta personalizada para alguma necessidade especifica do seu projeto.

As perguntas fazem parte da pesquisa, ou Survey, que gera os pontos de atenção do nosso projeto. Com a criação das personalizadas, consegue otimizar o poder da ferramenta da Security Compass.

Para fazer isso, na barra superior clique em Library e depois em Project Survey e clique no botão +Add Section no canto superior direito. Caso queria adicionar a uma seção já existente, selecione-a em vez de criar uma nova.

Depois clique em +Add SubSection, definindo um nome para essa sub seção e depois em +Add Question.

Responda o formulário para criar sua pergunta personalizada.
Para mais detalhes, pode saber tudo sobre as pesquisas clicando aqui.

Criando uma contramedida

Ivo Dias — Wed, 05 Jul 2023 13:56:00 +0000

Mesmo com a imensa biblioteca que já vem por padrão na ferramenta, e que está sendo constantemente atualizada, pode ser necessário criar uma contramedida (ou Countermeasure no original) personalizada para alguma necessidade especifica do seu projeto.

Para fazer isso, na barra superior clique em Library e depois em Countermeasure. Clique no botão +Add Countermeasure no canto superior direito.
No formulário, defina:

Titulo
Prioridade
Fase onde ela se localiza
Fraqueza relacionada
Solução
Requisitos adicionais
Como resolver

No canto direito, pode definir quando ela vai ser aplicada(exemplo: Em uma Web Aplication)

Criando uma fraqueza

Ivo Dias — Tue, 04 Jul 2023 13:55:00 +0000

Mesmo com a imensa biblioteca que já vem por padrão na ferramenta, e que está sendo constantemente atualizada, pode ser necessario criar uma fraqueza (ou Weaknesses no original) personalizada para alguma necessidade especifica do seu projeto.

Para fazer isso, na barra superior clique em Library e depois em Weaknesses. Clique no botão +Add Weaknesses no canto superior direito.
No formulário, defina um titulo, risco e coloque uma descrição:

É possível vincular a um projeto ou adicionar um CWE.

Criando uma politica

Ivo Dias — Tue, 04 Jul 2023 13:55:00 +0000

Para criar uma nova politica de segurança, na barra superior clique em Manage e depois em Risk Policy.

Clique no ícone de + e depois responda o formulário conforme as necessidades:

Caso tenha duvidas sobre as opções, pode consultar uma explicação mais detalhada na documentação.

Criando um grupo

Ivo Dias — Mon, 03 Jul 2023 13:54:00 +0000

Na aba superior clique em Manage e depois em Groups.
Clique no símbolo + e insira as informações no formulário:

Nome
Descrição
Role padrão para todos no grupo

Criando uma Global Role

Ivo Dias — Mon, 03 Jul 2023 13:54:00 +0000

O que é?
Uma Global Role é uma coleção de permissões que controlam o acesso aos recursos do aplicativo.

Como fazer?
Na barra superior, clique em Manage e depois em Global Roles.

Nessa tela vai conseguir visualizar todas as atuais bastando clicar no ícone com o símbolo +.

No formulário, coloque um nome e idealmente uma descrição.
Na seção de permissões, pode configurar ativando ou desativando os recursos dentro das categorias disponíveis.

Criando usuários

Ivo Dias — Mon, 03 Jul 2023 13:53:00 +0000

Para criar um usuário, é preciso ter a role Manage Users & Groups.

Na barra superior, clique em Manager e depois em Users.
Depois clique no botão com o símbolo + e depois na opção Add User.

Precisamos colocar no formulário, as informações:

Email
Primeiro nome
Segundo nome
Global Role
Grupo (Opcional)

Para mais detalhes, consulte a documentação.

Desenvolvimento reativo vs proativo

Ivo Dias — Wed, 28 Jun 2023 13:59:06 +0000

No modelo mais comum de desenvolvimento, deixamos para nos preocupar com a segurança apenas em etapas finais, seja via ferramentas de análise de vulnerabilidades ou no pior dos casos, apenas quando temos problemas.

Essa ação acaba por aumentar os custos e impactos do processo, já que quanto mais tarde nos detectamos, maiores os riscos e o custo para resolver.
A continua prática desse modelo contribui também para um aumento do débito técnico, já que ao final do processo são adicionadas várias tarefas não planejadas.

Quando mudamos para um modelo onde temos uma abordagem mais proativa, utilizando SD Elements, nos conseguimos fazer toda a modelagem das ameaças desde a concepção do projeto, tornando muito mais fácil prever e resolver eventuais problemas.

Com esses direcionamentos, fica bem mais simples saber o que precisamos validar, como atender a regulações como a LGPD e enquadra o nosso projeto em conceitos muito importantes como Privacy e Security by design.
Junto a esse mapeamento, podemos integrar com ferramentas de validação como as da Veracode, para garantir que o nosso código está dentro de todos os parâmetros de segurança que nós definimos.

Como utilizar a ferramenta de UM

Ivo Dias — Wed, 21 Jun 2023 15:36:35 +0000

Requisitos
Para utilizar a ferramenta, que está disponível no GitHub, precisamos instalar duas ferramentas, o HTTPIE e a Veracode-Api-Signing.
Uma forma fácil de fazer isso é por meio do PIP:

pip install httpie
pip install veracode-api-signing

Como a ferramenta foi escrita em Powershell, é possível utiliza-la em Windows, Linux e Mac. Caso esteja fora do Windows, basta fazer a instalação do Powershell.

Para facilitar a autenticação, recomendo que crie um arquivo de credenciais e utilize um usuário com as roles de Administrador ou de Team Admin.

Objetivos e estruturas
Essa ferramenta foi desenhada para automatizar o processo de criação e administração de usuários:

Permite a criação com base num arquivo CSV
Alterar conjunto de roles
Bloquear e deletar usuários

Utiliza um sistema de LOGs simples e templates JSON.
Para os conjuntos de roles, pensamos em alguns tipos de usuários:

Desenvolvedor - Plugin na IDE e visualizar resultados
QA - Visualizar resultados
SOC - Visualizar resultados, manipular politicas e recursos
DEVOPS - Visualizar resultados, manipular politicas e recursos
BLUETEAM - Visualizar resultados

Criando um usuário
Começamos pela edição do template, disponível em Templates/template.csv, onde vamos criar um novo conforme o padrão:

Nome;Sobrenome;Email;Cargo;Time;NovoTime
Joao;Silva;m@mail.com;Desenvolvedor;DEVs;Sim

Para utilizar o script precisamos, depois de ter feito a configuração inicial, chamar o script na linha de comando:

./newUser.ps1 ./template.csv

Basicamente, apenas chamamos o script e passamos como parâmetro o caminho do nosso CSV.

O script vai verificar se foi solicitada a criação de um novo time e se o que está na lista já existe. Depois dessa validação, vai fazer a criação do usuário conforme as informações.

Atualizando as roles
Como identificador do usuário, vamos utilizar seu email.
Conforme nosso template de roles, podemos mover o usuário de um padrão para o outro. Em nosso exemplo, criamos um desenvolvedor, mas agora vamos altera-lo para SOC:

./updateRoles.ps1 "m@mail.com" "SOC"

Precisamos apenas chamar o script, passando primeiro o email e depois qual o conjunto que queremos.

Bloquear ou Deletar
O processo para as duas ações é basicamente o mesmo, então vamos tratar numa única seção. Precisamos apenas passar como parâmetro o email do usuário:

./blockuser.ps1 "m@mail.com"
./deleteUser.ps1 "m@mail.com"

Scripts isolados
Caso queira pegar a lista de todos os times disponíveis em seu ambiente (ou os que seu usuário administra, no caso de ter a role de Team Admin) pode utilizar o script listTeams:

./listTeams.ps1

Caso tenha alguma demanda especifica ou alguma dificuldade com o script, entre em contato com a equipe da M3Corp ou reporte pelo GitHub.