Demostración en vídeo del post
Jenkins es una de las herramientas más utilizadas en el mundo del CI/CD y por supuesto, del DevSecOps. Sus características le han permitido ganar una cuota de mercado amplia, a la fecha de redactar este post es posiblemente la solución más extendida en equipos de DevOps en las empresas españolas. Por este motivo, merece la pena conocer sus funcionalidades y en esta ocasión, os traigo 10 complementos para Jenkins que soportan las actividades del SDLC, DevOps y DevSecOps. Además, te recuerdo que tienes disponible el curso Técnicas y herramientas aplicadas a DevSecOps en el que aprenderás a realizar procesos de CI/CD con Jenkins y la integración de un amplio conjunto de herramientas del tipo SAST y DAST.
Se trata de un complemento interesante que permite ejecutar múltiples agentes de Jenkins dentro de un cluster de Kubernetes. Su funcionamiento consiste en la creación de un POD en Kubernetes para cada agente que se quiera desplegar en el enjambre y se encarga de detenerlo después de cada construcción.
Los agentes se lanzan como «inbound agents», por lo que el contenedor se conectará automáticamente al servidor central de Jenkins cuando sea necesario ejecutar una job de estilo libre o pipeline. Cuando dicho job finaliza, el contenedor se destruye automáticamente.
JavaMelody es una aplicación muy conocida entre desarrolladores de J2EE y sirve para monitorizar las aplicaciones que se despliegan en un servidor web para detectar picos de carga y posibles problemas de rendimiento, así como ejecutar algunas otras operaciones de gestión del desempeño básicas. Jenkins está desarrollado en Java, por lo que resulta natural que este plugin se encuentre disponible en la plataforma para medir el rendimiento y generar métricas sobre su uso.
Entrando en el terreno del DevSecOps, existe un complemento que permite integrar Jenkins con Nuclei. Si bien es algo que se puede hacer utilizando un pipeline de Jenkins, tal como se enseña en el curso de Técnicas y herramientas aplicadas a DevSecOps, este complemento puede ser una alternativa. Su funcionamiento es simple, descarga el binario de nuclei desde el repositorio oficial y a continuación, hace lo mismo con las plantillas incluidas en el repositorio de nuclei-templates. Finalmente, le permite al usuario crear un job de estilo libre en el que uno de los pasos de ejecución puede ser un escaneo con nuclei, en donde solo hace falta indicar la URL de la aplicación web que se debe escanear.
Probely es otra herramienta que permite el análisis de vulnerabilidades en aplicaciones web en ejecución, es decir, una herramienta del tipo DAST en un pipeline de DevSecOps. A diferencia de Nuclei que se ejecuta localmente, Probely se ejecuta en un servicio online que ejecuta el proceso de escaneo de forma automática cuando recibe una orden de ejecución. Para integrar Jenkins con esta herramienta, es necesario dirigirse a la sección de «integraciones» disponible en dicho servicio y a continuación, generar un token que deberá ser incluido en la sección de credenciales de Jenkins. Este plugin permite la ejecución de Probely sobre una aplicación concreta desde un job de estilo libre o un pipeline.
Por otro lado nos encontramos con Uleska. Un servicio interesante que ejecuta múltiples herramientas del tipo DAST y SAST sobre una aplicación web, a continuación hace un «merge» de los descubrimientos de cada una de ellas y finalmente enseña un informe. Se puede integrar en Jenkins y otras soluciones de CI/CD, por lo que representa una plataforma interesante y que llama poderosamente la atención cuando nos fijamos en la cantidad de herramientas que integra. La versión gratuita permite un máximo de 100 peticiones al mes, lo cual suele ser suficiente para hacer algunas pruebas y hacerse con una idea sobre cómo funciona y a partir de ese punto, es posible que resulte interesante adquirir un plan de pago en el que no se tengan tantas restricciones de uso.
Hemos visto 5 plugins para Jenkins que vienen muy bien cuando se trabaja siguiendo la cultura de DevOps/DevSecOps y el próximo articulo te enseñaré 5 más, no obstante, en tu opinión ¿qué otro plugin para Jenkins podríamos incluir en esta lista?
Un saludo y Happy Hack!
Adastra.