Demostración en vídeo del post
En la primera parte de esta serie se han mencionado 5 plugins interesantes que pueden ser útiles a la hora de definir tu DevOps/DevSecOps y en esta ocasiones, se mencionarán 5 más.
Snyk es una herramienta del tipo SAST que se encarga de analizar proyectos y detectar defectos relacionados con dependencias vulnerables, imágenes de contenedores y el código fuente propiamente dicho. Es una herramienta que soporta los lenguajes de programación más comunes, entre los que destacan Node.js, Golang, Java, Python, Ruby, entre otros.
Este plugin para Jenkins se encarga de utilizar la API Rest disponible en una cuenta de Snyk y ejecutar pruebas del tipo SAST desde un pipeline, algo que como se ha mencionado en otros posts, es deseable a la hora de automatizar procesos en el DevSecOps.
Anchore Engine es una herramienta que permite analizar imágenes de contenedores Docker con el objetivo de detectar vulnerabilidades. Este plugin permite que desde un job en Jenkins se pueda automatizar la ejecución de estas pruebas utilizando la API disponible en Anchore Engine. El plugin permite realizar la integración con esta herramienta desde un pipeline o un paso de construcción en un job del tipo «free-style», lo único que hay que tener en cuenta es que la herramienta se debe encontrar en ejecución, con la API habilitada y accesible a los workers de Jenkins.
Es un complemento que permite generar logs sobre las acciones más interesantes para el administrador, como por ejemplo quién ha ejecutado jobs, cuándo se han llevado a cabo procesos de autenticación o qué cambios de configuración se han llevado a cabo en alguno de los workers de Jenkins. Además de permitir la generación de los logs en ficheros de texto concretos, también se puede conectar con un servicio de SYSLOG remoto para enviar los eventos producidos, algo que puede ser especialmente útil a la hora de centralizar las trazas de aquellas actividades criticas que se ejecutan en el servidor.
Dependency-Check es uno de los proyectos insignia de la comunidad OWASP y este plugin permite la ejecución de la herramienta desde cualquier job, ya sea del tipo «free-style» o pipeline. Esta herramienta permite realizar comprobaciones sobre las librerías y cualquier dependencia que se esté utilizando en el proyecto para determinar si existen vulnerabilidades conocidas.
Se trata de un complemento que permite delegar el proceso de autenticación a un directorio activo. Jenkins reconoce todos los grupos a los que pertenece el usuario en el Active Directory y con esto, se puede configurar Jenkins para tomar decisiones de autorización, por ejemplo se podría establecer la seguridad basada en matriz como la estrategia de autorización y permitir que uno o varios grupos concretos puedan administrar Jenkins o ejecutar jobs. En otras palabras, la gestión de la seguridad, junto con los permisos y grupos viene dada por la información del Active Directory.
Se trata de una serie muy corta, en la que de forma resumida se explican los plugins que en mi opinión, son útiles en a la hora de definir tu DevOps o DevSecOps. Si te ha interesado o conoces algún otro plugin que merezca estar en la lista, deja un comentario.
Un saludo y Happy Hack!
Adastra.