DefectDojo Report est un outil conçu pour exporter la dette sécurité d'une application depuis DefectDojo avec support de fonctionnalités additionnelles :
- Calcul de la criticité résultante à partir de l'impact (
severity), de la facilité d'exploitation (définie via un tag) et d'une matrice de correspondance - Gestion d'informations complémentaires définies via des tags :
- Origine de l'audit
- Correction de la vulnérabilité à la charge du prestataire de service
- Génération de rapports personnalisables aux formats HTML, CSV et JSON
- Concaténation de la dette associée à plusieurs produits
Installer Node.js >= 20 et NPM puis exécuter les commandes suivantes :
npm i -g defectdojo-report
defectdojo-report [options]defectdojo-report --help permet d'afficher le message d'aide.
Les options sont documentées ici : src/cli.js.
Un proxy peut être configuré en utilisant les variables d'environnement
http_proxy, https_proxy et no_proxy habituelles.
La commande suivante permet d'exporter la dette de sécurité associée au
produit product-name et à l'engagement engagement-name vers 2 fichiers
(./secdebt.csv et ./secdebt.html) en incluant uniquement les vulnérabilités
actives et pas hors périmètre :
defectdojo-report \
--url "https://defectdojo.acme.corp:8080" \
--token "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx" \
--product "product-name" --engagement "engagement-name" \
--status "active,!out_of_scope" \
--output "./secdebt" --format "csv,html" \
--config "./config.json"Le fichier config.json (optionnel) permet de personnaliser la
configuration de l'outil, par exemple :
{
"title": "Custom HTML report title",
"criticities": ["unknown", "low", "moderate", "high", "critical"]
}DefectDojo Report est fourni sous la GNU General Public License.