DefectDojo ist eine Open-Source-Anwendung, die über GitHub verfügbar ist.
Bitte beachten Sie die verschiedenen Anwendungsbeispiele für weitere Details zu den verschiedenen Nutzungsarten.
Das Importieren unserer Scan-Ergebnisse ist durch eine einfache Integration möglich. Sobald Sie ein Projekt starten, können Sie unsere maschinenlesbaren Scan-Ergebnisse einfach importieren und als Befunde anzeigen lassen, einschließlich CVSS-Scoring, Schwachstellenbeschreibung, URL und Ratschlägen zur Behebung sowie Links zu unserem Wiki-System.
Wenn Sie diesen Prozess vollständig automatisieren möchten, können Sie automatisch die DefectDojo-API verwenden, um unsere Prüfberichte an die API zu senden.
Dieser Prozess müsste in Ihrem CI/CD definiert werden, um sicherzustellen, dass dies nach jedem Scan geschieht. Siehe auch das folgende Beispiel für den Import eines Scan-Ergebnisses über die API.
Darüber hinaus ermöglicht DefectDojo die Integration mit Jira, so dass Sie von Ihrem DefectDojo aus leicht Jira-Tickets erstellen und die Ergebnisse schließen können, wenn das entsprechende Ticket geschlossen ist.
Weitere Dokumentation finden Sie auf der DefectDojo Dokumentations-Website.
Wenn Sie Unterstützung beim Einrichten dieses Prozesses benötigen, kontaktieren Sie uns bitte.
Beispiel für das Importieren eines Scan-Ergebnisses in DefectDojo
Im Folgenden finden Sie ein Beispiel dafür, wie Sie die DefectDojo-API mit einem Tool wie Postman testen können.Wir gehen davon aus, dass Ihr DefectDojo unter https://defectdojo.herokuapp.com/ läuft (Demo-Anwendung)
- Verb: POST
- URI: https://defectdojo.herokuapp.com/api/v2/import-scan/
- Headers tab: add the authentication header
- Key: Authorization
- Value: Token “token_value”
- Body tab
select “form-data”, click “bulk edit”. Example for a Crashtest Security scan:
engagement:3
verified:true
active:true
lead:1
tags:test
scan_date:2019-04-30
scan_type:Crashtest Security Scan
minimum_severity:Info
skip_duplicates:true
Close_old_findings:false- Body tab
- Click “Key-value” edit
- Add a “file” parameter of type “file”. This will trigger multi-part form data for sending the file content
- Browse for the file to upload
- Click send
DefectDojo + Jira Integration
Wenn Sie Jira und DefectDojo verwenden, gibt es eine elegante Möglichkeit, die beiden Tools zu integrieren. Die DefectDojo-API ermöglicht es Ihnen, eine Zwei-Wege-Kommunikation einzurichten.
In einem idealen Szenario wird also, sobald Sie ein Problem in DefectDojo erstellen, automatisch ein neues Problem in Jira erstellt, einschließlich der wichtigen Informationen darüber, wie die Schwachstelle behoben werden kann und wo sie gefunden wurde.
Nehmen wir an, die Schwachstelle wurde geschlossen und das entsprechende Jira-Ticket wurde geschlossen. Dann wird auch der zugehörige Fund in DefectDojo geschlossen. Toll, nicht wahr?
