Syhunt | Integrando Syhunt ao BitBucket

Integrando Syhunt ao BitBucket

As informa��es contidas neste documento se aplicam a vers�o 7.0 do Syhunt Hybrid.

�ndice

Ativando um Syhunt Runner

Adicionando Syhunt ao seu script CI YML

Fun��o Start-DynamicScan

Fun��o Iniciar-CodeScan

Condi��es de aprova��o/reprova��o

Integrando com o Issues do BitBucket

Introduction

Iniciar varreduras Syhunt a partir de um script BitBucket CI YML � simples e direto, permitindo integrar as ferramentas de teste de seguran�a Syhunt Dynamic, Syhunt Code e Syhunt Mobile em seu pipeline de entrega cont�nua.

O exemplo de script BitBucket YML a seguir varrer� o c�digo-fonte do reposit�rio atual, falhando no trabalho se vulnerabilidades m�dias ou altas forem identificadas. Al�m disso, anexa um relat�rio de vulnerabilidade aos artefatos de trabalho do pipeline.

Windows


pipelines:
  default:
      - step:
          runs-on:
            - self.hosted
            - windows
          script:
            - Start-CodeScan -pfcond 'fail-if:risk=mediumup' -output 'report.pdf'
          artifacts:
            - report.pdf

Linux


pipelines:
   default:
       - step:
           runs-on:
             - self.hosted
             - linux.shell
           script: 
             - ${HOME}/syhunt-hybrid/carbon/scancode ${PWD} -pfcond:fail-if:risk=mediumup -rout:${PWD}/report.html
           artifacts:
             - report.html

Ativando um Syhunt Runner

Syhunt Runner � um servi�o CI que receber� solicita��es de varredura, executar� varreduras e comunicar� os resultados da varredura com o BitBucket.

IMPORTANTE: Por motivos de seguran�a e desempenho, � aconselh�vel que o Runner seja instalado em uma m�quina virtual separada ou em uma m�quina f�sica dedicada.

Primeiro, instale com suas configura��es padr�o o comando Git:
1. No Windows: instale o Git para Windows, que pode ser baixado em https://gitforwindows.org/
2. No Linux: instale o pacote git usando o gerenciador de pacotes da sua distribui��o.
Em segundo lugar, instale com suas configura��es padr�o o Syhunt Hybrid (syhunt-hybrid-7.0.14.0.exe no Windows ou syhunt-hybrid-7.0.14.0.jar no Linux)
Em terceiro lugar, digite java -version no prompt de comando do Windows ou terminal Linux e certifique-se de ter o Java 22.0.2 ou superior instalado. Caso contr�rio, instale o JDK22 ou superior baixando de https://www.oracle.com/java/technologies/downloads/
Por fim, em Bitbucket.com, navegue at� a p�gina principal do reposit�rio:
1. Abaixo do nome do seu reposit�rio, clique em Repository Settings (Configura��es do reposit�rio na barra lateral esquerda.
2. Role para baixo at� Pipelines e clique em Runners
3. Clique no bot�o Add runner (Adicionar executor), e selecione em Sistema e arquitetura: Windows (64 bits) ou Linux Shell se voc� tiver o Syhunt instalado no Linux.
4. D� um nome ao runner (por exemplo: Syhunt) e um label (por exemplo: syhunt) e clique em Next (Avan�ar)
5. Voc� ver� instru��es mostrando como baixar o aplicativo runner e instal�-lo em sua m�quina runner auto-hospedada.
Siga as instru��es fornecidas para ativar o runner e, em seguida, clique em Next (Avan�ar)

Syhunt agora est� pronto para ser chamado a partir de scripts BitBucket CI! Veja exemplos abaixo

Adicionando Syhunt ao seu script CI YML

Se voc� n�o tiver um arquivo YML de fluxo de trabalho em seu reposit�rio, crie um arquivo como �bitbucket-pipelines.yml� no caminho raiz do seu projeto.

Exemplo SAST - O script BitBucket CI YML de exemplo a seguir varrer� o c�digo-fonte do reposit�rio atual, falhando no trabalho se vulnerabilidades m�dias ou altas forem identificadas. Al�m disso, anexa um relat�rio de vulnerabilidade aos artefatos de trabalho do pipeline.

Windows


pipelines:
  default:
      - step:
          runs-on:
            - self.hosted
            - windows
          script:
            - Start-CodeScan -pfcond 'fail-if:risk=mediumup' -output 'report.pdf'
          artifacts:
            - report.pdf

Linux


pipelines:
   default:
       - step:
           runs-on:
             - self.hosted
             - linux.shell
           script: 
             - ${HOME}/syhunt-hybrid/carbon/scancode ${PWD} -pfcond:fail-if:risk=mediumup -rout:${PWD}/report.html
           artifacts:
             - report.html

Exemplo DAST - O script YML do BitBucket de exemplo a seguir varrer� a aplica��o web ativa ap�s entrar em produ��o, falhando no trabalho se vulnerabilidades m�dias ou altas forem identificadas. Al�m disso, anexa um relat�rio de vulnerabilidade aos artefatos de trabalho do pipeline.

Linux


pipelines:
   default:
       - step:
           runs-on:
             - self.hosted
             - linux.shell
           script: 
             - ${HOME}/syhunt-hybrid/carbon/scanurl www.productionurl.com -pfcond:fail-if:risk=mediumup -rout:${PWD}/report.html
           artifacts:
             - report.html

Windows


pipelines:
  default:
      - step:
          runs-on:
            - self.hosted
            - windows
          script:
            - Start-DynamicScan -target 'www.productionurl.com' -pfcond 'medium' -output 'report.pdf'
          artifacts:
            - report.pdf

Exemplos adicionais para o Windows:


# Exemplo de SAST - Analisar diret�rio / reposit�rio local
Start-CodeScan -pfcond "medium"

# Exemplo de SAST - Analisar um reposit�rio GIT remoto
$MyProject = @{
  target = 'https://github.com/syhunt/vulnphp.git';
  branch = 'main';
  pfcond = 'medium';
  output = 'report.pdf'
}
Start-CodeScan @MyProject


# Exemplo de DAST - Analisar um URL
$MyWebsite= @{
  target = 'https://www.somewebsite.com';
  pfcond = 'medium';
  output = 'report.pdf'
}
Start-DynamicScan @MyWebsite

Fun��o Start-DynamicScan

Linux

No Linux, o Syhunt Dynamic deve ser iniciado atrav�s do comando scanurl.

Windows

O Syhunt Dynamic deve ser iniciado atrav�s da fun��o Start-DynamicScan(). Os seguintes par�metros devem ser fornecidos ao chamar a fun��o Start-DynamicScan():

target (obrigat�rio) - o URL alvo a ser analisado (ex. http://www.somesite.com)
huntmethod (opcional) - o M�todo de Varredura a ser usado durante a an�lise. Se omitido, o m�todo padr�o ser� usado.
pfcond (opcional) - permite que o script falhe com o c�digo de sa�da adequado se uma determinada condi��o for atendida. Veja abaixo uma lista das condi��es de aprova��o / reprova��o dispon�veis.
tracker (opcional) - o nome do rastreador criado anteriormente ou um rastreador gerado dinamicamente para o qual ser� enviado um resumo das vulnerabilidades identificadas ao final da varredura. Exemplos
output (opcional) - permite definir um nome de arquivo de relat�rio (por exemplo, report.pdf ou report.html).
outputex (opcional) - permite definir um segundo nome de arquivo de sa�da (por exemplo, export.json).
verbmode (opcional) - $ false por padr�o. Se alterado para true, ativa o modo detalhado, permitindo que informa��es de erro e informa��es b�sicas sejam adicionadas ao console.
genrep (opcional) - $ true por padr�o. Se alterado para false, o Syhunt n�o gerar� um arquivo de relat�rio.
redirIO (opcional) - $ true por padr�o. Se alterado para false, informa��es de status em tempo-real do scanner Syhunt n�o ser�o redirecionadas para o console.
timelimit (opcional) - define o tempo m�ximo da varredura (padr�o: sem limite). Caso o tempo seja atingido, a varredura � cancelada. Exemplos: 1d, 3h, 2h30m, 50m

Ao usar os par�metros output ou outputex, todos os formatos de sa�da suportados pelo Syhunt est�o dispon�veis. O relat�rio ou exporta��o ser� salvo no diret�rio de trabalho atual, a menos que seja fornecido um nome de caminho completo.

Exemplos:


# Exemplo 1 - Analisar um URL com uma �nica linha
Start-DynamicScan -target 'https://www.somewebsite.com' -pfcond 'fail-if:risk=mediumup'

# Exemplo 2 - Analisar um URL
$MyWebsite= @{
  target = 'https://www.somewebsite.com';
  pfcond = 'medium';
  output = 'report.pdf'
}
Start-DynamicScan @MyWebsite

Fun��o Iniciar-CodeScan

Linux

No Linux, o Syhunt Code deve ser iniciado atrav�s do comando scancode.

Windows

O Syhunt Code deve ser iniciado atrav�s da fun��o Start-CodeScan(). Os seguintes par�metros podem ser fornecidos ao chamar a fun��o Start-CodeScan(), sendo todas eles opcionais:

target - o URL de um reposit�rio GIT ou um diret�rio ou arquivo de c�digo-fonte local a ser verificado. Se o par�metro target for omitido, o diret�rio de trabalho atual ser� verificado.
branch - a ramifica��o do reposit�rio a ser analisada. Se o par�metro branch for omitido, o branch padr�o ser� analisado.
huntmethod - o M�todo de Varredura a ser usado durante a an�lise. Se omitido, o m�todo padr�o ser� usado.
pfcond - permite que o script falhe com o c�digo de sa�da adequado se uma determinada condi��o for atendida. Veja abaixo uma lista das condi��es de aprova��o / reprova��o dispon�veis.
output - permite definir um nome de arquivo de relat�rio (por exemplo, report.pdf ou report.html).
outputex - permite definir um segundo nome de arquivo de sa�da (por exemplo, export.json).
verbmode - $ false por padr�o. Se alterado para true, ativa o modo detalhado, permitindo que informa��es de erro e informa��es b�sicas sejam adicionadas ao console.
genrep - $ true por padr�o. Se alterado para false, o Syhunt n�o gerar� um arquivo de relat�rio.
redirIO - $ true por padr�o. Se alterado para false, informa��es de status em tempo-real do scanner Syhunt n�o ser�o redirecionadas para o console.
timelimit (opcional) - define o tempo m�ximo da varredura (padr�o: sem limite). Caso o tempo seja atingido, a varredura � cancelada. Exemplos: 1d, 3h, 2h30m, 50m

Exemplos:


# Exemplo 1 - Analisando o diret�rio / reposit�rio atual
Start-CodeScan -pfcond "medium"

# Exemplo 2 - Analisando um projeto GIT remoto
Start-CodeScan -target "https://github.com/someuser/somerepo.git" -huntmethod "normal" -pfcond "medium"

# Exemplo 3 - Analisando um diret�rio local espec�fico
Start-CodeScan -target "C:\www\" -huntmethod "normal" -pfcond "medium"

Condi��es de aprova��o/reprova��o

A seguir est�o as condi��es de aprova��o / reprova��o atualmente suportadas pelo Syhunt:

high ou fail-if:risk=high - Falha se for encontrada uma vulnerabilidade ou amea�a de alto risco
medium ou fail-if:risk=mediumup - Falha se for encontrada uma vulnerabilidade ou amea�a de risco M�dio ou Alto
low ou fail-if:risk=lowup - Falha se for encontrada uma vulnerabilidade ou amea�a de risco Baixo, M�dio ou Alto

Integrando com Issues do BitBucket

Embora a integra��o de CI com o pipeline BitBucket esteja dispon�vel, espera-se que a integra��o com problemas do BitBucket seja adicionada em uma vers�o futura do Syhunt.

Para documenta��o adicional do produto, visite syhunt.com/docs/br