База знаний
  • Документация
    • OSS Core HOSTVM
      • Описание функциональных характеристик
      • Системные требования
      • Руководство по установке и настройке
      • Руководство пользователя
      • Руководство администратора
    • OSS Core Security Tester
      • Описание функциональных характеристик
      • Системные требования
      • Инструкция по установке
        • Виртуальная машина
        • Развёртывание на Linux
        • Развёртывание на Windows
        • Yandex Cloud
      • Руководство пользователя
      • Руководство администратора
    • OSS Core OpenUDS
      • Описание функциональных характеристик
      • Системные требования
      • Руководство по установке и настройке
      • Руководство пользователя
      • Руководство администратора
  • Сопровождение
    • Техническая поддержка
      • Регламент технической поддержки
        • Регламент технической поддержки 9x5
        • Регламент технической поддержки 24x7
      • Процесс поддержания жизненного цикла программного обеспечения
      • Описание технических средств хранения исходного текста и объектного кода программного обеспечения
  • О Компании
  • https://basesource.ru/
Powered by GitBook
On this page
  • Вход в систему
  • Стандартные тесты
  • Интерфейс приложения
  • Работа с тестами
  • Проверка приложения
  • Проверка уязвимостей
  • Загрузка проекта в ручную
  • Загрузка проекта через Gitlab при помощи Webhooks
  1. Документация
  2. OSS Core Security Tester

Руководство пользователя

PreviousYandex CloudNextРуководство администратора

Last updated 1 year ago

Вход в систему

Для доступа вам понадобятся IP-адрес или имя машины, на которой запущен контейнер с приложением, а также порт подключения (по умолчанию - 4200).

Откройте приложение в браузере, указав адрес в формате: http://<IP-адрес или имя машины>:4200.

Авторизуйтесь в появившемся окне входа в систему, чтобы продолжить работу:

При первом входе используйте следующие учетные данные:

  • Имя пользователя: admin

  • Пароль: osscore123@

После входа в систему вы можете сменить пароль, выбрав соответствующий пункт в выпадающем меню пользователя:

Стандартные тесты

На странице "Стандартные тесты" можно выполнить следующие проверки:

  • rest_api - проверка http-ответа адресов с отображением результата запроса. На данный момент поддерживаются методы запросов GET, POST, PUT, DELETE

  • html - проверка элементов html-страниц по адресу с отображением скриншота страницы

  • bash - выполнение команд в терминале удалённого сервера и проверка ожидаемых ответов. На данный момент поддерживается выполнение команд на серверах операционной системы CentOS 7

Интерфейс приложения

В верхней части интерфейса доступны кнопки для выполнения следующих операций:

Добавить файл

Удалить отмеченные тесты

Запустить отмеченные тесты

В основной части отображается перечень загруженных тестов, включая следующую информацию:

  • IP сервера: IP адрес тестируемого сервера;

  • Модуль: тип выполняемого теста;

  • Имя файла: имя загруженного yml файла;

  • Псевдоним: алиас теста;

  • Дата создания: дата добавления теста.

Чтобы задать фильтр по данным, в выпадающем списке под именем столбца выберите логику фильтра и значение, затем нажмите Filter. Для сброса фильтра нажмите Reset.

В нижней части интерфейса доступны элементы управления отображением информации:

  • переключение между страницами при большом количестве загруженных тестов;

  • настройка количества элементов на странице.

Работа с тестами

Добавление

Удаление

Запуск

Результаты

После запуска теста откроется окно, отображающее ход тестирования и его результаты: перечень выполненных проверок, с адресом запроса и ответом от тестируемого сервиса (статусом выполнения).

Чтобы посмотреть подробное содержимое ответа, разверните нужную строку запроса, нажав на нее.

Проверка приложения

Для проверки работы приложения используйте этот пример yml файла с тестами:

Проверка уязвимостей

На странице "Проверка уязвимостей" в конкретном приложении можно выполнить поиск уязвимостей библиотек с открытым исходным кодом. Загрузить проект для проверки можно двумя способами:

  • вручную, выбрав папку с проектом у себя на компьютере

Загрузка проекта в ручную

Загрузка проекта через Gitlab при помощи Webhooks

Добавление токена развёртывания (deploy token) к проекту

В репозитории проекта Gitlab зайти на страницу настроек репозитория

Развернуть пункт Deploy tokens

Указать описательное (любое) имя, выбрать пункт "read_repository" и нажать "Create deploy token"

После создания выше появится форма с именем пользователя токена и самим токеном. Токен больше никде не будет показываться и его нельзя будет восстановить, поэтому скопируйте его куда-нибудь. Эти данные понадобятся для добавления в приложение otester

Добавление токена развёртывания в otester

Для того, чтобы добавить токен развёртывания, перейдите на страницу "Токены приложений VU"

Разверните форму нажатием на кнопку "Добавить токен" и укажите данные:

  • Тип токена - в данном случае "Deploy token"

  • Имя проекта - имя проекта Gitlab, так как указано в Gitlab

  • Имя пользователя токена - то имя пользователя, которое появлялось при создании токена Добавление токена развёртывания (deploy token) к проекту

  • Токен - это токен, который появлялся при создании токена Добавление токена развёртывания (deploy token) к проекту

Нажмите кнопку "Сохранить"

Всё, токен добавлен. Теперь при обращении к otester через веб-крючок будет использоваться этот токен

Добавление адреса к веб-крючкам (webhooks) репозитория

В репозитории проекта Gitlab зайти на страницу подключения Webhooks

В поле URL ввести адрес, в виде

http://[ip-адрес, на котором развёрнут otester]:5000/api/webhooks/vu/

Ниже выбрать событие, при наступлении которого будет выполняться запрос на указанный выше адрес, например можно указать событие push. В нашем случае при запросе будет выполняться выгрузка проекта в otester.

Отключить проверку SSL и нажать кнопку Add webhook

Всё, теперь при выполнении команды git push будет выполняться отправка проекта в otester и его проверка. Проект появится на странице "Проверка уязвимостей"

Для сортировки данных по возрастанию/убыванию используйте кнопку рядом с именем столбца:

Для добавления теста нажмите кнопку , выберите в открывшемся диалоге файл для загрузки.

Для загрузки и просмотра содержимого файла добавленного теста, найдите строку с ним в перечне тестов и нажмите .

Для удаления поставьте отметку в строках с нужными тестами, затем нажмите .

Для запуска теста найдите строку с нужным тестом в перечне и нажмите .

Для запуска нескольких тестов поставьте отметку в строках с нужными тестами, затем нажмите .

Примечание: процесс создания yml файлов с тестами описан в .

через с использованием функции

Операция загрузки проекта вручную очевидна - нужно нажать на иконку папки , выбрать папку с проектом у себя на компьютере и дождаться завершения загрузки

руководстве администратора
gitlab
webhooks
426B
яндекс-расписания-api-test.yml