终极指南：DefectDojo API v2开发实战 — 构建定制化安全解决方案

终极指南：DefectDojo API v2开发实战 — 构建定制化安全解决方案

【免费下载链接】django-DefectDojoOpen-Source Unified Vulnerability Management, DevSecOps & ASPM项目地址: https://gitcode.com/gh_mirrors/dj/django-DefectDojo

DefectDojo是一款开源的统一漏洞管理、DevSecOps及ASPM平台，其强大的API v2接口为开发者提供了自动化安全测试、集成CI/CD流程的核心能力。本文将带你从API基础到实战应用，快速掌握如何利用DefectDojo API打造专属安全解决方案。

🚀 API基础：从认证到核心功能

认识DefectDojo API v2

DefectDojo API基于Django Rest Framework构建，提供完整的OpenAPI v3规范文档。每个DefectDojo实例都内置交互式API文档，可通过用户下拉菜单中的"API v2 Docs"访问，地址为/api/v2/oa3/swagger-ui/。

图1：DefectDojo API v2文档入口及API密钥生成界面

认证机制详解

API采用Token认证方式，格式如下：

Authorization: Token <api_key>

通过/api/key-v2页面生成API密钥，密钥一旦泄露可点击"Generate New Key"重新生成。若需禁用API令牌认证，可设置环境变量DD_API_TOKENS_ENABLED=False。

图2：API v2认证令牌生成界面

🔑 核心API端点与实战应用

关键端点概览

DefectDojo API v2提供丰富端点，覆盖漏洞管理全流程：

图3：API v2核心端点列表，包括engagements、findings、import-scan等关键功能

主要端点功能：

• import-scan：导入安全扫描报告
• reimport-scan：重新导入扫描报告（支持增量更新）
• engagements：管理安全测试项目
• findings：查询与管理漏洞信息
• products：产品与产品类型管理

快速上手：Python调用示例

以下代码演示如何通过API获取用户列表：

import requests url = 'http://127.0.0.1:8000/api/v2/users' headers = { 'content-type': 'application/json', 'Authorization': 'Token c8572a5adf107a693aa6c72584da31f4d1f1dcff' } r = requests.get(url, headers=headers, verify=True) print(r.json())

带过滤条件的查询（查找用户名含"jay"的用户）：

url = 'http://127.0.0.1:8000/api/v2/users/?username__contains=jay'

📊 高级应用：扫描导入与自动化

导入扫描报告

通过import-scan端点导入ZAP扫描报告示例：

{ "minimum_severity": "Info", "active": true, "verified": true, "scan_type": "ZAP Scan", "test_title": "CI/CD Pipeline Scan", "product_type_name": "Web Applications", "product_name": "Customer Portal", "engagement_name": "Quarterly Security Test", "auto_create_context": true }

当auto_create_context设为true时，系统会自动创建不存在的产品、测试项目等实体。

重新导入与增量更新

reimport-scan端点支持增量更新，自动匹配现有测试记录：

{ "scan_type": "ZAP Scan", "test": 123, "do_not_reactivate": false }

do_not_reactivate参数控制是否重新激活已关闭的漏洞，适合持续集成场景。

🛠️ 实用工具与最佳实践

第三方API客户端

社区提供多种语言的API客户端：

• Python：defectdojo_api
• Java：defectdojo-client-java
• .Net/C#：DefectDojo.Api

日期处理技巧

scan_date参数可自定义扫描完成时间，覆盖报告中的默认日期：

{ "scan_type": "ZAP Scan", "scan_date": "2023-11-01T12:00:00Z", "engagement": 456 }

📚 扩展资源

• 官方API文档：docs/content/automation/api/api-v2-docs.md
• 权限管理：dojo/authorization/
• 扫描器集成：dojo/tools/

通过DefectDojo API，开发者可以将安全测试无缝集成到开发流程中，实现漏洞管理的自动化与定制化。无论是构建CI/CD安全管道，还是开发专属安全dashboard，API v2都提供了灵活而强大的技术支撑。

【免费下载链接】django-DefectDojoOpen-Source Unified Vulnerability Management, DevSecOps & ASPM项目地址: https://gitcode.com/gh_mirrors/dj/django-DefectDojo