质量检验关

Jenkins与AppSpider持续集成可用于强制应用程序的质量检验关。在构建阶段之后,Jenkins可以扫描应用程序,并通过调用获得漏洞总结得到结果方法。调用获得漏洞总结返回一个XML文件,其中包含扫描中发现的所有问题的摘要。在这个XML文件中,提供了扫描中检测到的每个漏洞,以及一个分数:

         
1
ModuleId > < 81 c9d7ed0e33447899d5cd20b978617b ModuleId > < /
2
CSRF保护缺失
3.
< AttackScore > 1-Informational < / AttackScore >
4
< AttackValue > N / A < / AttackValue >
5
352年< CweId > < / CweId >

以及符合要求的分数:

         
1
62年< CAPEC > < / CAPEC >
2
3585年< DISSA_ASC > < / DISSA_ASC >
3.
5 < OWASP2007 > < / OWASP2007 >
4
5 < OWASP2010 > < / OWASP2010 >
5
8 < OWASP2013 > < / OWASP2013 >
6
<椭圆形> 0 < /椭圆形>
7
9 < WASC > < / WASC >

此信息可以被解析出来并用于执行质量检验关,例如,如果在扫描中发现特定类型和/或临界级别的漏洞,则停止构建或发送通知。您可以编写自定义Jenkins脚本来执行组织使用的质量参数。例如,如果您希望确保一个容易受到SQL注入攻击的应用程序永远不会被发布,那么您可以检索漏洞发现列表,并对其进行解析,以查找SQL注入问题。