Обеспечение безопасности разработки ПО

Интеграция с AppSec.Hub

AppSec.Code предоставляет следующие функциональные возможности по обеспечению защищенности разрабатываемого ПО, основанные на интеграции с платформой безопасной разработки программного обеспечения AppSec.Hub:

• Сканирование приложений, кодовых баз и артефактов на наличие известных уязвимостей.
• Сканирование с использованием различных практик проверки безопасности кода (SAST/SCA/DAST/CS).
• Формирование отчетности о результатах сканирования.

Настройка подключения к Appsec.Hub

1. Авторизуйтесь в Appsec.Code с правами администратора.

2. Перейдите в раздел Администрирование, в левой панели меню выберите Поиск или переход, а затем выберите Администрирование.

   

3. Откройте страницу основных настроек Appsec.Code. Для этого в левом меню выберите пункт Настройки и его подпункт Основные.

4. Найдите настройку Подключение к AppSec.Hub и раскройте ее с помощью кнопки Развернуть.

   

5. Зайдите на Appsec.Hub и авторизуйтесь с правами администратора.

6. В Appsec.Hub выберите в верхнем меню навигации User Profile.

   

7. В Appsec.Hub в левом меню User Profile выберите пункт Tokens, а затем нажмите на кнопку Add new.

   

8. В появившемся окне Create new access token введите название токена и дату истечения срока его действия (необязательное поле).

9. Скопируйте созданный токен из появившегося окна, нажав на кнопку Got it.

   

10. Вернитесь на главную страницу Appsec.Hub и в левом меню перейдите в раздел Applications.

    

11. С помощью кнопки Add new добавьте приложение, где будут определены шаблоны security pipelines, которые будут использоваться при запросах сканирования с Appsec.Code.

12. В Appsec.Code в настройках Подключение к AppSec.Hub введите параметры:

    • URL адрес AppSec.Hub'а.
    • API токен - токен доступа администратора AppSec.Hub, который был создан ранее.

13. Нажмите на кнопку Сохранить изменения и проверить подключение.

    

14. При корресктных URL и токене на экране появится надпись: Настройки приложения успешно сохранены. Подключение прошло успешно. AppSec.Hub доступен.

    

Настройка параметров сканирования в проекте

1. Перейдите в нужный проект. В левом меню зайдите в Настройки и выберите пункт Настройки сканирования.

   

2. В появившемся окне Настройки сканирования выберите требуемые практики, нажав на кнопку Подключить.

   

   Обратите внимание, что практика SCA поддерживается только для артефактов, а SAST - только для исходного кода.

3. Убедитесь, что практика включена по сообщению Включено. Ненужную практику можно отключить с помощью соответствующей кнопки.

   

4. При переподключении Appsec.Hub или изменении его настроек, обновить настройки сканирования можно по нажатию на кнопку Обновить список доступных практик.

Запуск сканирования исходного кода (кодовой базы) и артефактов

1. После включения практик SAST или SCA в Appsec.Code на домашней странице (т.е. на странице репозитория) проекта появится кнопка Сканировать.

   

2. Нажмите на кнопку Сканировать. На открывшейся странице Параметры сканирования выберите нужную практику и нажмите на кнопку Начать сканирование.

   

   При выборе практики SCA становится доступно поле Введите URL для артефакта, в котором можно ввести ссылку на артефакт и его версию, хранящиеся в Nexus, Docker или другом репозитории.

   

3. Appsec.Code возвратится на страницу репозитория проекта. На ней появится информационное сообщение об успешном или неуспешном запущенном сканировании.

   

Просмотр результатов с найденными уязвимостями

1. Через некоторое время, после завершения сканирования, можно просмотреть найденные уязвимости. В левом меню выберите пункт Безопасность и его подпункт Отчет об уязвимостях, чтобы перейти на страницу Отчет об уязвимостях.

   

   На этой странице представлены таблица со статусом, критичностью и описанием уязвимости, данные о практике сканирования, с помощью которой была обнаружена уязвимость, и об использованном для этого инструменте (который настроен в пайплайне Appsec.Hub), а так же CWE ID со ссылкой на источник.

2. Нажмите на ссылку в колонке Описание, чтобы перейти на страницу с более подробной информации по конкретной уязвимости.

Настройки сканирования SAST, SCA и DAST в редакторе пайплайна

1. В левом меню выберите пункт Сборка и его подпункт Редактор пайплайна.

   

2. На открывшейся странице Редактор пайплайна представлены кнопки с теми практиками, которые были выбраны в настройках сканирования этого проекта (SAST, SCA, DAST). После отключения отдельных практик в настройках сканирования проекта, при обновлении страницы Редактор пайплайна кнопки, соответствующие отключенным практикам, больше не отображаются.

   

3. При нажатии на кнопку с соответствующим названием происходит копирование в буфер обмена шаблона задачи для данной практики. Далее пользователь Appsec.Code может вставить из буфера обмена шаблон задачи в пайплайн и завершить редактирование актуальными данными.

4. При запуске данного пайплайна, добавленные задачи запускают на стороне AppSec.Hub процессы сканирования, соответствующие практике, настроенной в задаче пайплайна.