Configuration des modules de l'analyseur Boost Security avec votre intégration continue (CI)¶
Boost Security, grâce à une approche modulaire, prend en charge un grand nombre de scanners spécialisés, permettant l'automatisation de la sécurité pour plusieurs types de sécurité, tels que
- Analyse statique (SAST)
- Composition logicielle (SCA)
- Analyse des conteneurs
- Nomenclature logicielle (SBOM)
Par conséquent, Boost Security permet d'intégrer l'automatisation de la sécurité dans les flux de développement pour de nombreux langages de programmation et écosystèmes.
Vous pouvez facilement ajouter l'analyseur Boost Security et commencer à analyser votre code source et les artefacts associés en utilisant l'un de nos plugins d'intégration continue (CI) officiellement pris en charge :
- Workflows GitHub Actions
- Azure DevOps
- Bitbucket Pipelines
- Plugins BuildKite
- Orbs CircleCI
- Jenkins
- Pipelines GitLab
- AWS CodeBuild et CodePipeline
Si vous utilisez un autre système d'intégration continue (CI), vous pouvez utiliser la CLI (interface en ligne de commande) de Boost Security pour configurer le pipeline, comme indiqué dans les instructions pour Jenkins.
Exigences minimales du système¶
Les exigences minimales du système pour exécuter manuellement (c.-à-d. pas via ZTP (Orchestration Zero Touch)) l'analyseur Boost Security dans un environnement CI sont les suivantes :
- Les binaires suivants doivent être installés :
git,find,taretcurlouwget. - La machine qui exécute le binaire de l'analyseur Boost Security doit soit ne pas disposer de glibc, soit disposer d'une version de glibc 2.28 ou plus récente.
Authentification de l'analyseur auprès du service Boost Security¶
Un jeton API doit être configuré pour permettre à l'analyseur Boost Security de téléverser les résultats. Pour cela, vous devez d'abord générer une clé API en visitant la page Paramètres > Clés d'application du tableau de bord Boost Security.
Une fois la clé API obtenue, nous vous recommandons d'utiliser le système de gestion des secrets natif de votre environnement d'intégration continue (CI). Le nom que nous suggérons est BOOST_API_TOKEN. Nous ferons référence à ce secret dans les exemples ci-dessous.
Quels pipelines sont pris en charge pour chaque application de gestion du code source¶
La compatibilité technologique de Boost Security, en termes de pipelines pris en charge pour chaque système de gestion de code source (SCM), diffère selon chaque système SCM.