Перейти к содержанию

Обеспечение безопасности разработки ПО

Интеграция с AppSec.Hub

AppSec.Code предоставляет следующие функциональные возможности по обеспечению защищенности разрабатываемого ПО, основанные на интеграции с платформой безопасной разработки программного обеспечения AppSec.Hub:

  • Сканирование приложений, кодовых баз и артефактов на наличие известных уязвимостей.
  • Сканирование с использованием различных практик проверки безопасности кода (SAST/SCA/DAST/CS).
  • Формирование отчетности о результатах сканирования.

Настройка подключения к Appsec.Hub

  1. Авторизуйтесь в Appsec.Code с правами администратора.

  2. Перейдите в раздел Администрирование, в левой панели меню выберите Поиск или переход, а затем выберите Администрирование.

  3. Откройте страницу основных настроек Appsec.Code. Для этого в левом меню выберите пункт Настройки и его подпункт Основные.

  4. Найдите настройку Подключение к AppSec.Hub и раскройте ее с помощью кнопки Развернуть.

  5. Зайдите на Appsec.Hub и авторизуйтесь с правами администратора.

  6. В Appsec.Hub выберите в верхнем меню навигации User Profile.

  7. В Appsec.Hub в левом меню User Profile выберите пункт Tokens, а затем нажмите на кнопку Add new.

  8. В появившемся окне Create new access token введите название токена и дату истечения срока его действия (необязательное поле).

  9. Скопируйте созданный токен из появившегося окна, нажав на кнопку Got it.

  10. Вернитесь на главную страницу Appsec.Hub и в левом меню перейдите в раздел Applications.

  11. С помощью кнопки Add new добавьте приложение, где будут определены шаблоны security pipelines, которые будут использоваться при запросах сканирования с Appsec.Code.

  12. В Appsec.Code в настройках Подключение к AppSec.Hub введите параметры:

    • URL адрес AppSec.Hub'а.
    • API токен - токен доступа администратора AppSec.Hub, который был создан ранее.
  13. Нажмите на кнопку Сохранить изменения и проверить подключение.

  14. При корресктных URL и токене на экране появится надпись: Настройки приложения успешно сохранены. Подключение прошло успешно. AppSec.Hub доступен.

Настройка параметров сканирования в проекте

  1. Перейдите в нужный проект. В левом меню зайдите в Настройки и выберите пункт Настройки сканирования.

  2. В появившемся окне Настройки сканирования выберите требуемые практики, нажав на кнопку Подключить.

    Обратите внимание, что практика SCA поддерживается только для артефактов, а SAST - только для исходного кода.

  3. Убедитесь, что практика включена по сообщению Включено. Ненужную практику можно отключить с помощью соответствующей кнопки.

  4. При переподключении Appsec.Hub или изменении его настроек, обновить настройки сканирования можно по нажатию на кнопку Обновить список доступных практик.

Запуск сканирования исходного кода (кодовой базы) и артефактов

  1. После включения практик SAST или SCA в Appsec.Code на домашней странице (т.е. на странице репозитория) проекта появится кнопка Сканировать.

  2. Нажмите на кнопку Сканировать. На открывшейся странице Параметры сканирования выберите нужную практику и нажмите на кнопку Начать сканирование.

    При выборе практики SCA становится доступно поле Введите URL для артефакта, в котором можно ввести ссылку на артефакт и его версию, хранящиеся в Nexus, Docker или другом репозитории.

  3. Appsec.Code возвратится на страницу репозитория проекта. На ней появится информационное сообщение об успешном или неуспешном запущенном сканировании.

Просмотр результатов с найденными уязвимостями

  1. Через некоторое время, после завершения сканирования, можно просмотреть найденные уязвимости. В левом меню выберите пункт Безопасность и его подпункт Отчет об уязвимостях, чтобы перейти на страницу Отчет об уязвимостях.

    На этой странице представлены таблица со статусом, критичностью и описанием уязвимости, данные о практике сканирования, с помощью которой была обнаружена уязвимость, и об использованном для этого инструменте (который настроен в пайплайне Appsec.Hub), а так же CWE ID со ссылкой на источник.

  2. Нажмите на ссылку в колонке Описание, чтобы перейти на страницу с более подробной информации по конкретной уязвимости.

Настройки сканирования SAST, SCA и DAST в редакторе пайплайна

  1. В левом меню выберите пункт Сборка и его подпункт Редактор пайплайна.

  2. На открывшейся странице Редактор пайплайна представлены кнопки с теми практиками, которые были выбраны в настройках сканирования этого проекта (SAST, SCA, DAST). После отключения отдельных практик в настройках сканирования проекта, при обновлении страницы Редактор пайплайна кнопки, соответствующие отключенным практикам, больше не отображаются.

  3. При нажатии на кнопку с соответствующим названием происходит копирование в буфер обмена шаблона задачи для данной практики. Далее пользователь Appsec.Code может вставить из буфера обмена шаблон задачи в пайплайн и завершить редактирование актуальными данными.

  4. При запуске данного пайплайна, добавленные задачи запускают на стороне AppSec.Hub процессы сканирования, соответствующие практике, настроенной в задаче пайплайна.