Перейти к содержанию

Обеспечение безопасности разработки ПО

Интеграция с AppSec.Hub

AppSec.Code предоставляет следующие функциональные возможности по обеспечению защищенности разрабатываемого ПО, основанные на интеграции с платформой безопасной разработки программного обеспечения AppSec.Hub:

  • Сканирование приложений, кодовых баз и артефактов на наличие известных уязвимостей.
  • Сканирование с использованием различных практик проверки безопасности кода (SAST/SCA).
  • Создание шаблона сканирования.
  • Формирование отчетности о результатах сканирования.

Для начала работы с платформой безопасной разработки ПО AppSec.Hub нажмите на кнопку Защищенность ПО, расположенную в главном меню AppSec.Code.

Выбор подпункта Об AppSec.Hub пункта меню Защищенность ПО позволяет ознакомиться с информацией о платформе безопасной разработки ПО AppSec.Hub.

При выборе подпункта Сканировать приложение пункта меню Защищенность ПО необходимо в соответствующих полях указать URL-адрес и API-токен для подключения к AppSec.Hub и нажать на кнопку Подключиться. API-токен для подключения должен быть заранее сгенерирован в личном кабинете пользователя в AppSec.Hub.

После подключения AppSec.Hub в поле Выберите действие можно указать одно из следующих действий:

  • Добавить кодовые базы (практики SAST, SCA).
  • Добавить артефакты (практики SCA, CA).

При выборе действия Добавить кодовые базы в пользовательском интерфейсе под заголовком Создание шаблона сканирования появятся поля, содержащие дополнительные настройки.

В поле Доступные оркестраторы выберите опцию Jenkins (Demo). Это поле является обязательным для заполнения.

В поле Доступные Git платформы выберите опцию, например: http://158.160.115.151. Это поле является обязательным для заполнения.

В полях Доступные SAST сканеры и Доступные SCA сканеры выберите инструмент для сканирования.

Нажмите на кнопку Перейти к добавлению кодовой базы. В пользовательском интерфейсе в разделе Добавление кодовой базы заполните поля, содержащие дополнительные настройки.

Поле URL репозитория является обязательным для заполнения. Введите ссылку на проект в AppSec.Code, который необходимо просканировать, например, http://158.160.115.151/new/hub-test.

В поле Выберите build tool согласно языку программирования выберите инструмент сборки, используемый в проекте, например, pip.

Поле Введите название ветки репозитория является обязательным для заполнения. Введите название ветки, например, main.

При установке флага Стартовать сканирование сразу после добавления сканирование в AppSec.Hub будет запущено автоматически по нажатию на кнопку Посмотреть результат. Если флаг не был установлен, сканирование необходимо запустить в AppSec.Hub.

Установите флаг Стартовать сканирование сразу после добавления и нажмите на кнопку Посмотреть результат.

Сразу после завершения сканирования в AppSec.Hub в пользовательском интерфейсе AppSec.Code отобразится отчет Результат сканирования в AppSec.Hub.

Информация о результатах сканирования приложения в AppSec.Hub выводится в формате JSON. Существует возможность обновления данных отчета по нажатию на кнопку Обновить данные.

Таблица ниже содержит данные для подключения к AppSec.Hub и сканирования приложения при выборе действия Добавить кодовые базы.

Параметр Значение
URL адрес AppSec.Hub https://demo.appsec-hub.ru
API токен AppSec.Hub Токен выдается при получении лицензии
Доступные Git-платформы http://158.160.115.151
URL репозитория http://158.160.115.151/new/hub-test
Выберите build tool согласно языку программирования pip
Введите название ветки репозитория main
Стартовать сканирования сразу после добавления Необходимо установить флаг

При выборе действия Добавить артефакты в пользовательском интерфейсе под заголовком Создание шаблона сканирования появятся поля, содержащие дополнительные настройки.

В поле Доступные оркестраторы выберите опцию Jenkins (Demo). Это поле является обязательным для заполнения.

Выберите реестр Docker в поле Доступные Docker registry.

В поле Доступные SCA сканеры выберите инструмент для сканирования.

Нажмите на кнопку Перейти к добавлению артефакта. В пользовательском интерфейсе в разделе Добавление артефакта заполните поля, содержащие дополнительные настройки.

Поле URL артефакта является обязательным для заполнения. Введите ссылку на проект в AppSec.Code, который необходимо просканировать.

Заполните поле Введите тег образа, который нужно сканировать.

При установке флага Стартовать сканирование сразу после добавления сканирование в AppSec.Hub будет запущено автоматически по нажатию на кнопку Посмотреть результат. Если флаг не был установлен, сканирование необходимо запустить в AppSec.Hub.

Установите флаг Стартовать сканирование сразу после добавления и нажмите на кнопку Посмотреть результат.

Сразу после завершения сканирования в AppSec.Hub в пользовательском интерфейсе AppSec.Code отобразится отчет Результат сканирования в AppSec.Hub.