Обеспечение безопасности разработки ПО¶
Интеграция с AppSec.Hub¶
AppSec.Code предоставляет следующие функциональные возможности по обеспечению защищенности разрабатываемого ПО, основанные на интеграции с платформой безопасной разработки программного обеспечения AppSec.Hub:
- Сканирование приложений, кодовых баз и артефактов на наличие известных уязвимостей.
- Сканирование с использованием различных практик проверки безопасности кода (SAST/SCA/DAST/CS).
- Формирование отчетности о результатах сканирования.
Настройка подключения к Appsec.Hub¶
-
Авторизуйтесь в Appsec.Code с правами администратора.
-
Перейдите в раздел Администрирование, в левой панели меню выберите Поиск или переход, а затем выберите Администрирование.
-
Откройте страницу основных настроек Appsec.Code. Для этого в левом меню выберите пункт Настройки и его подпункт Основные.
-
Найдите настройку Подключение к AppSec.Hub и раскройте ее с помощью кнопки Развернуть.
-
Зайдите на Appsec.Hub и авторизуйтесь с правами администратора.
-
В Appsec.Hub выберите в верхнем меню навигации User Profile.
-
В Appsec.Hub в левом меню User Profile выберите пункт Tokens, а затем нажмите на кнопку Add new.
-
В появившемся окне Create new access token введите название токена и дату истечения срока его действия (необязательное поле).
-
Скопируйте созданный токен из появившегося окна, нажав на кнопку Got it.
-
Вернитесь на главную страницу Appsec.Hub и в левом меню перейдите в раздел Applications.
-
С помощью кнопки Add new добавьте приложение, где будут определены шаблоны security pipelines, которые будут использоваться при запросах сканирования с Appsec.Code.
-
В Appsec.Code в настройках Подключение к AppSec.Hub введите параметры:
- URL адрес AppSec.Hub'а.
- API токен - токен доступа администратора AppSec.Hub, который был создан ранее.
-
Нажмите на кнопку Сохранить изменения и проверить подключение.
-
При корресктных URL и токене на экране появится надпись: Настройки приложения успешно сохранены. Подключение прошло успешно. AppSec.Hub доступен.
Настройка параметров сканирования в проекте¶
-
Перейдите в нужный проект. В левом меню зайдите в Настройки и выберите пункт Настройки сканирования.
-
В появившемся окне Настройки сканирования выберите требуемые практики, нажав на кнопку Подключить.
Обратите внимание, что практика SCA поддерживается только для артефактов, а SAST - только для исходного кода.
-
Убедитесь, что практика включена по сообщению Включено. Ненужную практику можно отключить с помощью соответствующей кнопки.
-
При переподключении Appsec.Hub или изменении его настроек, обновить настройки сканирования можно по нажатию на кнопку Обновить список доступных практик.
Запуск сканирования исходного кода (кодовой базы) и артефактов¶
-
После включения практик SAST или SCA в Appsec.Code на домашней странице (т.е. на странице репозитория) проекта появится кнопка Сканировать.
-
Нажмите на кнопку Сканировать. На открывшейся странице Параметры сканирования выберите нужную практику и нажмите на кнопку Начать сканирование.
При выборе практики SCA становится доступно поле Введите URL для артефакта, в котором можно ввести ссылку на артефакт и его версию, хранящиеся в Nexus, Docker или другом репозитории.
-
Appsec.Code возвратится на страницу репозитория проекта. На ней появится информационное сообщение об успешном или неуспешном запущенном сканировании.
Просмотр результатов с найденными уязвимостями¶
-
Через некоторое время, после завершения сканирования, можно просмотреть найденные уязвимости. В левом меню выберите пункт Безопасность и его подпункт Отчет об уязвимостях, чтобы перейти на страницу Отчет об уязвимостях.
На этой странице представлены таблица со статусом, критичностью и описанием уязвимости, данные о практике сканирования, с помощью которой была обнаружена уязвимость, и об использованном для этого инструменте (который настроен в пайплайне Appsec.Hub), а так же CWE ID со ссылкой на источник.
-
Нажмите на ссылку в колонке Описание, чтобы перейти на страницу с более подробной информации по конкретной уязвимости.
Настройки сканирования SAST, SCA и DAST в редакторе пайплайна¶
-
В левом меню выберите пункт Сборка и его подпункт Редактор пайплайна.
-
На открывшейся странице Редактор пайплайна представлены кнопки с теми практиками, которые были выбраны в настройках сканирования этого проекта (SAST, SCA, DAST). После отключения отдельных практик в настройках сканирования проекта, при обновлении страницы Редактор пайплайна кнопки, соответствующие отключенным практикам, больше не отображаются.
-
При нажатии на кнопку с соответствующим названием происходит копирование в буфер обмена шаблона задачи для данной практики. Далее пользователь Appsec.Code может вставить из буфера обмена шаблон задачи в пайплайн и завершить редактирование актуальными данными.
-
При запуске данного пайплайна, добавленные задачи запускают на стороне AppSec.Hub процессы сканирования, соответствующие практике, настроенной в задаче пайплайна.