Запуск Docker-контейнера c FAST-нодой в режиме тестирования

Режим тестирования FAST-ноды предполагает выполнение теста безопасности с использованием существующего набора запросов, а также создание и выполнение тестовых запросов для целевого приложения.

Необходимые сведения

Для выполнения описанных в этом документе действий вам потребуется токен.

Далее будут использоваться следующие демонстрационные значения:

идентификатор набора запросов rec_0001;
идентификатор теста безопасности tr_1234;
идентификатор базового запроса bl_7777.

Установка docker-compose

Для демонстрации работы FAST-ноды в режиме тестирования в данном руководстве будет использоваться docker-compose. Инструкции по установке вы можете прочитать здесь.

Переменные в режиме тестирования

В таблице ниже приведены параметры (переменные окружения), которые вы можете использовать в режиме тестирования FAST-ноды:

Параметр	Значение	Обязателен
`WALLARM_API_TOKEN`	Токен, полученный ранее в облаке Валарм.	Да
`WALLARM_API_HOST`	Адрес используемого API-сервера Валарм. Возможные значения: `us1.api.wallarm.com` — для американского облака; `api.wallarm.com` — для европейского облака; `api.wallarm.ru` — для российского облака.	Да
`CI_MODE`	Режим работы FAST-ноды. Необходимое значение: `testing`.	Да
`WORKERS`	Количество конкурентных потоков, извлекающих базовые запросы из набора запросов и выполняющих тесты безопасности. По умолчанию: `10`.	Нет
`TEST_RECORD_ID`	Идентификатор набора запросов. По умолчанию: пустое значение.	Нет
`TEST_RUN_NAME`	Имя теста безопасности. По умолчанию имя будет формата: "TestRun Sep 24 12:31 UTC".	Нет
`TEST_RUN_DESC`	Описание теста безопасности. По умолчанию: пустое значение.	Нет
`TEST_RUN_POLICY_ID`	Идентификатор политики тестирования. По умолчанию: отсутствует (используется политика тестирования по умолчанию).	Нет
`TEST_RUN_RPS`	Ограничение на количество тестовых запросов в секунду (requests per second, RPS) в рамках теста безопасности. По умолчанию: не ограничено. Возможные значения: от `1` до `1000`.	Нет
`TEST_RUN_STOP_ON_FIRST_FAIL`	Остановка FAST-ноды при первом проваленном тестовом запросе. Возможные значения: `true`, `false`. По умолчанию: `false`.	Нет
`TEST_RUN_URI`	URI тестируемого приложения (IP-адрес тестируемого приложения в процессе CI/CD может меняться). Например, `httр://app-test:3000` — URL приложения `app-test`, развернутого с помощью `docker-compose`.	Нет
`BUILD_ID`	Идентификатор рабочего процесса CI/CD, который позволяет нескольким FAST-нодам работать одновременно (в параллельных рабочих процессах CI/CD) через одну и ту же ноду в облаке. Подробнее здесь.	Нет
`FILE_EXTENSIONS_TO_EXCLUDE`	Расширения статических файлов, которые необходимо исключить из теста безопасности. Доступно перечисление (через`\|`): `FILE_EXTENSIONS_TO_EXCLUDE='jpg\|ico\|png'`	Нет
`PROCESSES`	Количество процессов, которые может использовать FAST‑нода. Каждый процесс использует количество потоков, указанное в переменной `WORKERS`. Значение по умолчанию: `1`. Специальное значение: `auto`, равное половине от количества ЦПУ в системе. Для получения количества ЦПУ используется команда nproc.	Нет

Смотрите также

Переменные окружения, неспецифичные для конкретного режима работы FAST-ноды вы можете посмотреть здесь.

Получение идентификатора политики тестирования

Если вы планируете использовать собственную политику тестирования, то создайте ее в облаке Валарм. Вы можете передать ее идентификатор FAST-ноде с помощью параметра TEST_RUN_POLICY_ID.

Если вы планируете использовать политику по умолчанию, не используйте параметр TEST_RUN_POLICY_ID при запуске FAST-ноды.

Создание политики

Пример создания политики тестирования приведен в руководстве «Быстрый старт».

Получение идентификатора набора запросов

Чтобы в режиме тестирования использовать конкретный набор запросов, вы можете передать FAST-ноде его идентификатор, используя параметр TEST_RECORD_ID. Таким образом, нет необходимости каждый раз сначала запускать FAST-ноду в режиме записи, а можно использовать заранее сформированный набор запросов и с помощью него проводить тесты безопасности многократно (разными нодами и с разными политиками тестирования).

Получить идентификатор набора запросов вы можете в интерфейсе портала Валарм или из лога FAST-ноды в режиме записи. Если вы не используете параметр TEST_RECORD_ID, то FAST-нода будет использовать последний записанный набор.

Запуск FAST-ноды в режиме тестирования

Для запуска FAST-ноды в режиме тестирования можно воспользоваться тем же файлом docker-compose.yaml, что и в режиме записи. При этом важно изменить переменную CI_MODE и присвоить ей значение testing. Это можно сделать, изменив значение в файле docker-compose.yaml или передав значение переменной при запуске Docker-контейнера через опцию -e:

docker-compose run --rm -e CI_MODE=testing fast

Получение отчета о тестировании

Чтобы получить отчет c результатами теста, при запуске Docker-контейнера примонтируйте директорию для выгрузки отчета через опцию -v {DIRECTORY_FOR_REPORTS}:/opt/reports/.

При завершении тестирования в папке {DIRECTORY_FOR_REPORTS} сформируются файлы с отчетами: краткий <TEST RUN NAME>.<UNIX TIME>.txt и детальный <TEST RUN NAME>.<UNIX TIME>.json.

Опции docker-compose

Используя опцию -e можно передавать любые другие переменные для режима тестирования, которые были описаны ранее. В приведенной команде также используется опция --rm для автоматического удаления контейнера после завершения его работы.

При успешном выполнения этой команды в терминал будут выведены подобные сообщения:

 __      __    _ _
 \ \    / /_ _| | |__ _ _ _ _ __
  \ \/\/ / _` | | / _` | '_| '  \
   \_/\_/\__,_|_|_\__,_|_| |_|_|_|
            ___ _   ___ _____
           | __/_\ / __|_   _|
           | _/ _ \\__ \ | |
           |_/_/ \_\___/ |_|

Loading...
INFO synccloud[13]: Registered new instance 16dd487f-3d40-4834-xxxx-8ff17842d60b
INFO [1]: Loaded 0 custom extensions for fast scanner
INFO [1]: Loaded 44 default extensions for fast scanner
INFO [1]: Use TestRecord#rec_0001 for creating TestRun
INFO [1]: TestRun#tr_1234 created

В данном случае FAST-нода сообщает о том, что создан и запущен тест безопасности с идентификатором tr_1234 на основе набора запросов с идентификатором rec_0001.

Далее целевому приложению будут отправляться сформированные тестовые запросы. В терминал при этом будут поступать подобные сообщения:

INFO [1]: Running a test set for the baseline #bl_7777
INFO [1]: Test set for the baseline #bl_7777 is running
INFO [1]: Retrieving the baseline request Hit#["hits_production_202_20xx10_v_1", "AW2xxxxxW26"]
INFO [1]: Use TestPolicy with name 'Default Policy'

Из приведенного консольного вывода ясно, что запущен набор тестовых запросов (test set) для базового запроса с номером bl_7777. Так как вручную не задавался идентификатор политики тестирования, то используется политика тестирования по умолчанию с именем Default Policy.

Завершение работы FAST-ноды в режиме тестирования

В зависимости от результатов тестирования целевого приложения на уязвимости работа FAST-ноды может завершиться по-разному.

Если в ходе тестирования были выявлены уязвимости, то завершающие сообщения FAST-ноды будут подобны следующим:

INFO [1]: Found 4 vulnerabilities, marking the test set for baseline #bl_7777 as failed
ERROR [1]: TestRun#tr_1234 failed

В данном случае найдено четыре уязвимости. Набор тестовых запросов (test set) для базового запроса с идентификатором bl_7777 и тест безопасности с идентификатором tr_1234 считаются проваленными (failed).

Если в ходе тестирования уязвимости выявлены не были, то завершающие сообщения FAST-ноды будут подобны следующим:

INFO [1]: No issues found. Test set for baseline #bl_7777 passed.
INFO [1]: TestRun#tr_1234 passed

В этом случае набор тестов для базового запроса с идентификатором bl_7777 и тест безопасности с идентификатором tr_1234 считаются пройденными (passed).

Обратите внимание

Из приведенных примеров не следует, что выполнялся только один набор тестовых запросов — такие наборы формируются для каждого базового запроса, при условии, что он удовлетворяет политике тестирования. В целях демонстрации приведено сообщение для последнего набора тестовых запросов, сформированного для базового запроса с идентификатором bl_7777.

После завершения процесса тестирования с тем или иным результатом, FAST-нода завершает свою работу и возвращает процессу CI/CD-инструмента определенный код завершения (exit code):

Если все тестовые запросы были пройдены и не было непредвиденных ошибок, то возвращается exit code = 0.
Если найдены уязвимости или возникли непредвиденные ошибки в работе FAST-ноды, то exit code = 1.

Несмотря на то, что контейнер с FAST-нодой в режиме тестирования будет остановлен автоматически после завершения тестов безопасности, вы можете воспользоваться описанными ранее методами для остановки контейнера.

В приведенном примере при запуске контейнера использовалась опция --rm, поэтому удаление контейнера произойдет автоматически.

results matching ""

No results matching ""

results matching ""

No results matching ""