DEV Community

loading...

Integrando Veracode com Azure DevOps

igd753 profile image Ivo Dias ・2 min read

Antes de ler esse artigo, vou recomendar que leia meu artigo sobre o Pipeline Scan, já que utilizaremos ele aqui.

Pipeline Scan é uma ferramenta da Veracode que nos permite fazer analises de segurança com scripts e pipelines de forma simples e pratica.

Nesse artigo utilizaremos como base o projeto PIVAA, criado para demonstrar falhas de segurança num projeto Android, enviando o seu APK para analise.

Utilizaremos o YAML para poder criar um pipeline que vai fazer o processo de build e então utilizar o Pipeline Scan para verificar o APK.

Nosso código em YAML ficara assim:

É uma estrutura bem simples, utilizando a opção padrão de compilação para Android do Azure e por meio de um Bash, fazendo a instalação e uso do Pipeline Scan.

Para que ele funcione, precisamos configurar duas variáveis:
APIID e APIKEY são informações da sua conta Veracode

Como a ferramenta é um JAR, é preciso que o Pipeline tenha o Java configurado.

Não recomendo que deixe no código as variáveis, já que elas são credenciais. Como esse projeto tem falhas de segurança, o Pipeline vai localiza-las e "quebrar".

Retorno

Notamos que o uso da ferramenta é bem simples, e que podemos integra-la com facilidade nos scripts. Basta informar o caminho do arquivo no parâmetro f e as credenciais.

A analise é feita e o resultado exibido.

Analise

Com base nas orientações, pode seguir com a correção das falhas encontradas.

Discussion (0)

pic
Editor guide