CircleCI との統合¶

このガイドでは、プッシュのたびに Mayhem が自動的に API をテストできるよう CircleCI Pipeline をセットアップする方法を説明します。

前提条件

CircleCI パイプラインで Mayhem を実行するには、以下が必要です

Mayhem API トークンを作成します。
作成したトークンを MAPI_TOKEN という名前の環境変数としてパイプランのコンテキストに追加します。

CircleCI と Mayhem を連携するためのパイプライン構成¶

API のテストは簡単です。まず、.circleci/config.yml ファイルに CircleCI Orb を追加します。

API テスト

version: 2.1
orbs:
  mapi: forallsecure/mapi@1.0.0

パイプラインにホストされたサービス¶

API をスキャンする新規ジョブを作成してサービスを開始します。mapi/scan コマンドを呼び出してサービスに対して Mayhem を実行し、成果物またはテスト結果を任意の場所に保存します。

jobs:
  mayhem-for-api:
    machine:
      image: ubuntu-2204:2022.07.1
    steps:
      # Start your service
      - run:
          command: start-service.sh &
      # Scan your API with Mayhem
      - mapi/scan:
          api-url: 'http://localhost:8000'
          api-spec: 'https://demo-api.mayhem.security/api/v3/openapi.json'
      - store_artifacts:
          path: /tmp/mapi
      - store_test_results:
          path: /tmp/mapi/junit.xml

次に、ワークフローに新規ジョブを追加します。

workflows:
  tests-and-security:
    jobs:
      - mayhem-for-api

デプロイ済みのサービス¶

すでにデプロイ済みであり、ビルドパイプラインに一部として実行されていないサービスをテストするには、ワークフローで mapi/scan ジョブを使用します。運用環境に対しては、絶対に Mayhem を実行してはいけません。

workflows:
  tests-and-security:
    jobs:
      - mapi/scan:
          api-url: 'https://your.staging.com/'
          api-spec: 'https://your.staging.com/openapi.json'