pm
acfab03928
DevSecOps Enterprise Pipeline / security-gate-and-deploy (push) Successful in 1m4s
atualizar deploy
142 lines
5.9 KiB
YAML
142 lines
5.9 KiB
YAML
name: "DevSecOps Enterprise Pipeline"
|
|
on:
|
|
push:
|
|
branches: [ main ]
|
|
|
|
jobs:
|
|
security-gate-and-deploy:
|
|
runs-on: ubuntu-latest
|
|
steps:
|
|
- name: Checkout Code
|
|
uses: actions/checkout@v3
|
|
with:
|
|
fetch-depth: 0
|
|
|
|
# ==========================================
|
|
# ETAPA 1: TESTES ESTÁTICOS DE SEGURANÇA
|
|
# ==========================================
|
|
|
|
# 1.1. SECRET SCANNING (Protege contra novas fugas de chaves)
|
|
- name: Gitleaks Scan
|
|
run: |
|
|
curl -sL https://github.com/gitleaks/gitleaks/releases/download/v8.18.2/gitleaks_8.18.2_linux_x64.tar.gz | tar -xz -C /tmp
|
|
/tmp/gitleaks protect --source . --verbose --redact --staged --exit-code 1
|
|
|
|
# 1.2. SCA - Verifica vulnerabilidades conhecidas no Nginx
|
|
- name: Scan Docker Image Vulnerabilities (Trivy)
|
|
run: |
|
|
curl -sfL https://raw.githubusercontent.com/aquasecurity/trivy/main/contrib/install.sh | sh -s -- -b /usr/local/bin
|
|
trivy image --severity HIGH,CRITICAL nginx:alpine
|
|
|
|
# 1.3. SAST - Análise de Código Fonte
|
|
- name: SonarQube Analysis
|
|
run: |
|
|
curl -sL https://binaries.sonarsource.com/Distribution/sonar-scanner-cli/sonar-scanner-cli-5.0.1.3006-linux.zip -o sonar-scanner.zip
|
|
unzip -q sonar-scanner.zip
|
|
./sonar-scanner-5.0.1.3006-linux/bin/sonar-scanner \
|
|
-Dsonar.projectKey=website-test \
|
|
-Dsonar.sources=. \
|
|
-Dsonar.host.url=http://51.89.40.2:9000 \
|
|
-Dsonar.token=${{ secrets.SONAR_TOKEN }} \
|
|
-Dsonar.qualitygate.wait=true
|
|
|
|
# ==========================================
|
|
# ETAPA 2: SANDBOX (AMBIENTE DE TESTE DINÂMICO)
|
|
# ==========================================
|
|
|
|
- name: Criar Sandbox Temporária
|
|
run: |
|
|
# Remover qualquer resíduo de sandbox anterior
|
|
docker rm -f website-test-sandbox || true
|
|
|
|
# Criamos a Sandbox. Como o ZAP vai aceder pela rede interna do Docker,
|
|
# já não precisamos de expor portas para o exterior (muito mais seguro)!
|
|
docker run -d --name website-test-sandbox nginx:alpine
|
|
|
|
# Copiar o index.html atual para a Sandbox
|
|
docker cp index.html website-test-sandbox:/usr/share/nginx/html/index.html
|
|
|
|
# Aguardar 5 segundos para o servidor Nginx iniciar
|
|
sleep 5
|
|
|
|
# ==========================================
|
|
# ETAPA 3: DAST - TESTE DINÂMICO (OWASP ZAP)
|
|
# ==========================================
|
|
|
|
- name: OWASP ZAP Baseline Scan
|
|
run: |
|
|
mkdir -p qatests
|
|
|
|
# LIMPEZA PREVENTIVA
|
|
docker rm -f zap-scanner || true
|
|
docker volume rm zap-reports || true
|
|
|
|
# Criamos um volume Docker gerido pelo motor do Docker para evitar conflitos de pastas
|
|
docker volume create zap-reports
|
|
|
|
# Corremos o ZAP montando esse volume oficial
|
|
docker run --user root --name zap-scanner \
|
|
--link website-test-sandbox:website-test-sandbox \
|
|
-v zap-reports:/zap/wrk/:rw \
|
|
-t ghcr.io/zaproxy/zaproxy:stable zap-baseline.py \
|
|
-t http://website-test-sandbox \
|
|
-r report.html \
|
|
-I || true
|
|
|
|
# O Docker CP consegue extrair o ficheiro diretamente do container para a pasta local do runner!
|
|
docker cp zap-scanner:/zap/wrk/report.html qatests/report.html
|
|
|
|
# Limpamos o container e o volume para não ocupar espaço no servidor
|
|
docker rm -f zap-scanner || true
|
|
docker volume rm zap-reports || true
|
|
|
|
# Garante que a Sandbox é desmantelada mesmo que o passo do ZAP falhe
|
|
- name: Destruir Sandbox
|
|
if: always()
|
|
run: |
|
|
docker rm -f website-test-sandbox || true
|
|
|
|
# ==========================================
|
|
# ETAPA 4: DEPLOY EM PRODUÇÃO (SÓ SE TUDO PASSAR)
|
|
# ==========================================
|
|
|
|
- name: Hardened Deploy (Produção - Porta 3000)
|
|
run: |
|
|
# Backup do ficheiro anterior em Produção
|
|
docker exec website-test-backend tar -czf /tmp/index_backup.tar.gz -C /usr/share/nginx/html index.html || true
|
|
|
|
# Limpar a pasta de produção e copiar o novo código aprovado
|
|
docker exec website-test-backend sh -c "rm -rf /usr/share/nginx/html/*"
|
|
docker cp index.html website-test-backend:/usr/share/nginx/html/index.html
|
|
|
|
# Aplicar Hardening de permissões
|
|
docker exec website-test-backend chown root:root /usr/share/nginx/html/index.html
|
|
docker exec website-test-backend chmod 444 /usr/share/nginx/html/index.html
|
|
|
|
# Testar se o site responde localmente em produção
|
|
docker exec website-test-backend curl --silent --show-error --fail http://localhost:80 || exit 1
|
|
|
|
# ==========================================
|
|
# ETAPA 5: ARTEFACTOS E EXPOSIÇÃO DO RELATÓRIO
|
|
# ==========================================
|
|
|
|
- name: Publicar Relatorio no Site (Bypass Gitea Bug)
|
|
if: always()
|
|
run: |
|
|
# Copia o relatório do ZAP diretamente para a pasta pública do teu Nginx em produção!
|
|
# Ficará acessível em: http://51.89.40.2:3000/zap-report.html
|
|
docker cp qatests/report.html website-test-backend:/usr/share/nginx/html/zap-report.html || true
|
|
docker exec website-test-backend chmod 444 /usr/share/nginx/html/zap-report.html || true
|
|
|
|
- name: Guardar Relatorio ZAP (Raw HTML)
|
|
if: always()
|
|
uses: actions/upload-artifact@v3
|
|
with:
|
|
name: owasp-zap-report
|
|
# Voltamos a enviar apenas o HTML. Como não é um tar.gz, o Gitea já não deve encravar o download!
|
|
path: qatests/report.html
|
|
|
|
- name: Slack/Discord Notification
|
|
if: always()
|
|
run: |
|
|
echo "Pipeline finalizada com status: ${{ job.status }}" |