Criando meu próprio Github Actions para a área de AppSec

michelleamesquita — Mon, 03 Apr 2023 16:42:35 +0000

Olá pessoal, tudo bem? 😊

Hoje resolvi trazer esse tema, pois na área de AppSec/DevSecOps é muito importante conhecer outras ferramentas que possam ajudar na integração e checagens de segurança durante a fase de desenvolvimento de um software.

O que é Github Actions?

Ele serve para você automatizar de forma fácil todo o processo de desenvolvimento de software, utilizando o conceito CI/CD por meio do workflow (build, teste e deploy ) no seu repositório.

O mais interessante é que você pode criar uma action e compartilhar no Github Marketplace e assim, qualquer pessoa poderá usar a sua action!

Achei essa ideia sensacional, principalmente se você quiser criar um código, como no nosso caso, que será para encontrar vulnerabilidade no código. Assim, não precisaremos passar por todos steps como clonar o repositório do projeto, instalar dependências ou Docker para o projeto específico, para depois executá-lo!

Agora que entendemos para o que serve o Github Actions, precisamos criar a nossa Action. Para isso, termos que ter em mente que precisamos criar um arquivo chamado action.yml e que o mesmo precisa estar no diretório principal (root). Dessa forma, será entendido pelo Github que esse é o arquivo que dará origem a nossa action.

name: 'SAST validator'
author: 'michelleamesquita'
description: 'Using python to verify vulnerabilities into code'
inputs:
  path:
    required: true
    default: "."
  language:
    required: false
runs:
  using: 'docker'
  image: 'Dockerfile'
  args:
    - -d=${{ inputs.path }}
    - -l=${{ inputs.language }}

Nesse arquivo, é importante entendermos que possuem alguns parâmetros importantes que serão usados para a criação da minha action utilizando container (Docker).

inputs : é utilizado para passar os parâmetros que serão passados no argumento argumento (docker run sast -d=. -l=python) . Então, "path" recebe o valor de "python", no exemplo.
runs : é a parte principal do actions. Ele serve para definir o tipo de runner, que no nosso caso é 'docker'. Assim precisamos passar parâmetros específicos do Docker. Por exemplo a imagem e os argumentos que serão os inputs setados previamente.
Caso queiram ver os demais exemplos, segue a documentação do Github também 😊

Para utilizarmos essa action em outros projetos, será necessário publicar no Marketplace. Para isso, colocarei os passos abaixo: (só não reparem no número da versão que criei, pois estava apenas testando na época 😅)

Link para minha Action no Marketplace: https://github.com/marketplace/actions/sast-validator

Link para o meu repositório no Github:
https://github.com/michelleamesquita/sast-validator

Para criar tags no versionamento, segue as linhas de código:

➜ git tag -a -m “My first action release” v40 ➜ git push - follow-tags

Para adicionar a action no repositório, será necessário criar esse diretório: .github/workflows/ , onde será necessário passar um arquivo yaml, como no exemplo abaixo:

on:
  push:
    branches:
    - main

jobs:
  sast_job:
    runs-on: ubuntu-latest
    name: SAST Validator
    steps:
      - name: Checkout repository content
        uses: actions/checkout@v2 

      - name: SAST validator
        uses: michelleamesquita/sast-validator@v40
        with:
          options: -v $PWD/:/app
          path: .
          language: python

Nesse código acima, é importante entender que precisamos utilizar a actions/checkout@v2 para poder ler o arquivo do diretório corrente do projeto que usará o sast-validator.
Utilizamos o parâmetro options para compartilhar o volume entre o container e a máquina virtual linux (Ubuntu) que está sendo utilizada para rodar esse job.

Por fim, quando houver um push na branch Main, o código que analisa vulnerabilidades irá avaliar essa branch.

Assim, o código de validador de vulnerabilidades (SAST Validator), foi utilizado como prova de conceito para encontrar potenciais vulnerabilidades. No entanto, é importante salientar que é necessário o analista de segurança validar. Como também, podemos aumentar a quantidade de regras e também para linguagens específicas, onde utilizei o RegEx para realizar esses testes.

Espero que tenham gostado 💜👩‍💻

Automações na área de AppSec 🤖

michelleamesquita — Tue, 28 Feb 2023 22:50:58 +0000

Olá, pessoal.
Tudo bem?

Esse é o meu primeiro post utilizando a plataforma dev.to! Eu possuo um blog no Medium também, onde falo de AppSec/DevSecOps caso queiram ler, mas dependendo, futuramente, eu possa adicionar alguns artigos que escrevi lá aqui também. 😊

Sem mais delongas, gostaria de tratar um pouco sobre o assunto automações para a área de AppSec.

Começo com esse texto pois dentro dessa vasta área de Application Security, existe espaço para todos trabalharem, desde conscientização dos desenvolvedores ou mesmo adição de ferramentas na pipeline!

No entanto, o foco hoje é na parte de secure code review! Isso é importante de ser falado pois muito se fala de adição de ferramentas de SAST, DAST e SCA. No entanto, as ferramentas trazem bastante falso positivos. Assim, temos que exercitar bem a lógica de programação para validarmos o output que a ferramenta retorna. Como também, questionar se a ferramenta está validando todos os pontos que ela deveria checar.

Dessa forma, o secure code review é extremamente necessário para validar e confirmar o que o SAST retorna. Isso porque as ferramentas possuem diversas lógicas internas com expressões regulares, mas que nem sempre identificam que um ponto foi tratado (falso positivo) ou não retornam todos os pontos que estão vulneráveis!

Além disso, é interessante pensar e entender na lógica que uma ferramenta de SAST funciona. Nesse caso, trouxe como exemplo o Checkmarx, na imagem abaixo, é que ela analisa o input da ferramenta (parâmetros), output (saída para o usuário) e através disso, ele busca se existe um sanitizador (algo que modifique a entrada do usuário) para a vulnerabilidade XSS. Caso exista essa regra na ferramenta, ele entende que a vulnerabilidade foi tratada.

Como as ferramentas possuem uma lista de regras pré-setadas, é importante que o analista de AppSec também crie suas próprias regras de acordo com as vivências na área, até para confirmar ou analisar se existem pontos também críticos. Embora as ferramentas na pipeline já agilizem muito o processo, precisamos ter esse entendimento que é necessário realizar nossa própria análise também.

Para isso, eu desenvolvi um script que funciona como um grande RegEx, onde eu crio as minhas regras para validar ainda mais pontos.

Segue o link no Github para quem quiser contribuir também 😎.
https://github.com/michelleamesquita/sast-validator

Eu criei regras para algumas das principais vulnerabilidades que vejo acontecer no dia-a-dia. Como também, separei por algumas funcionalidades como autenticação, upload de arquivos e reset/conexão de bancos com senhas. Quando falamos de code review, esse é um ponto super importante para entender aonde procurar por vulnerabilidades: funcionalidades da aplicação.

Funcionamento da aplicação:

Comando:
python3 sast.py -d PATH -l Language (optional)

Output:

Espero que gostem! 💜👩‍💻

DEV Community: michelleamesquita

Criando meu próprio Github Actions para a área de AppSec

Automações na área de AppSec 🤖