VAddyブログ

- 継続的セキュリティテストへの道 -

JenkinsからWebアプリに脆弱性検査し、結果をHipchatに通知

image

継続的セキュリティテストサービスVAddyはJenkinsプラグインを提供しているため、Hipchat Jenkinsプラグインを入れれば、CIの中でWebアプリケーションに対して脆弱性検査を自動実行して、その結果をHipchatに通知できます。

Jenkinsには、ビルド後の処理にEmail通知というものが標準であるため、ビルド結果はメールで受け取りできます。ただし、これはビルド失敗のみメール通知されます。
Hipchatプラグインを入れると、ビルド後の処理にHipchat通知が追加でき、下記画像のようにビルドの成功、失敗がHipchatに通知され、ビルド結果へのリンクもメッセージの中に入るため便利です。

image


設定は簡単で、JenkinsプラグインをインストールしてAPI情報を入れるのみです。手順を説明します。

ステップ1 プラグインのインストール

Hipchatプラグインは、「Jenkinsの管理」 -> 「プラグインの管理」に画面遷移し、利用可能タブからHipchatを検索。そうすると下記のプラグインがヒットしますので、インストールをしてください。
HipChat Plugin
This plugin allows your team to setup build notifications to be sent to HipChat rooms.

同様に、VAddyを検索し、下記のプラグインがヒットしますのでインストールしてください。
VAddy Jenkins Plugin
This plugin is used to call VAddy API from Jenkins.


ステップ2 Hipcahtプラグインの設定

「Jenkinsの管理」-> 「システムの設定」画面に遷移すると、「Global HipChat Notifier Settings」というメニューがありますので、
API TokenとRoomIDとJenkinsサーバのURLを入れて完了です。

image


ステップ3 ジョブ設定

各ジョブの設定画面にて、「ビルド手順の追加」のプルダウンを選ぶと、「VAddy」と出てきますので、それを選択します。

VAddyのWebAPI設定画面で発行したAPI Auth Keyと、ログインユーザID、テスト対象のホスト情報を入れます。

image


Hipchatへの通知は、「ビルド後の処理の追加」を選択し、「Hipchat Notifications」を選択します。

image


これで適用ボタンを押して設定完了です。

ジョブ実行時にVAddyからテストサーバに対してセキュリティテストを実施し、成功・失敗の結果がHipchatに通知されます。

このように、Jenkinsプラグインを使えば簡単にVAddyの結果をチャットに通知することができます。今回はHipchatでしたがSlack Jenkinsプラグインを使えば、Slackへも同様に通知ができると思います。

VAddyはCIと連携し継続的なセキュリティテストを実現するサービスです。無料プランでも実行回数無制限ですので是非お試しください。
http://vaddy.net