Подключение инструментов AST
Примечание
Для выполнения нижеописанных действий требуется роль Администратора.
SAST
Подключение Solar appScreener
Подключение Solar appScreener осуществляется на странице администрирования AppSec.Hub, см. раздел «Подключение инструментов разработки ПО».
Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.
В раскрывающемся меню поля Tool type открывшегося диалогового окна Create tool выберите пункт sast, а в поле Product — appscreener.
После выбора этих значений окно Create tool примет следующий вид.
Для подключения укажите в данном окне следующие параметры:
- Задайте имя инструмента в поле Name.
- Укажите URL инструмента Solar appScreener.
- В поле Workspaces выберите рабочее пространство (-а), в котором будет использоваться Solar appScreener. Это может быть любое доступное рабочее пространство в AppSec.Hub.
-
Для данного инструмента доступен только один способ авторизации — с использованием токена. Введите токен в соответствующее поле.
Примечание
Токен в инструменте appScreener создается в профиле пользователя. Процесс создания токена описан в «Руководстве пользователя» инструмента appScreener в описании профиля пользователя в подразделе по работе с токенами. Данное руководство доступно в формате PDF по ссылке.
При создании токена в инструменте у пользователя в профиле на вкладке Настраиваемые права должны быть установлены права Создавать новые проекты и Загружать приложения с локального компьютера или из репозитория. Это обеспечит токену необходимые для работы права.
-
Информационное поле Management в правом верхнем углу окна Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.
- Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).
Нажмите кнопку Connect, чтобы проверить соединение с Solar appScreener.
AppSec.Hub отправит запрос на соединение с инструментом и в правом нижнем углу пользовательского интерфейса отобразится соответствующее уведомление.
Если соединение произошло успешно, нажмите кнопку Create, чтобы подключить инструмент, в противном случае проверьте правильность заполнения всех полей и внесите необходимые изменения.
Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/Workspaces name).
Особенности интеграции
Данный SAST-инструмент может добавляться в пайплайны для сканирования кодовых баз и артефактов.
При добавлении инструмента в пайплайн для сканирования кодовых баз можно настроить несколько параметров его работы.
В поле Languages осуществляется выбор языка (-ов) исходного кода приложения, которые будут проверяться во время сканирования, см. раздел «Security Pipeline исходного кода».
Примечание
Если в приложении используется несколько языков, они указываются через запятую из следующего списка: JAVA, PHP, CS, JAVASCRIPT, TYPESCRIPT, VBSCRIPT, HTML5, PYTHON, CCPP, OBJC, SWIFT, PLSQL, TSQL, ABAP, ONES, APEX, GO, RUBY, GROOVY, DELPHI, VBA, VB, SOLIDITY и COBOL. Формат поля Languages соответствует формату выбора языков для анализа в Solar appScreener. Если оставить поле Languages пустым, сканируются все языки, используемые в приложении. По умолчанию в сканирование включается проверка конфигурационных файлов Config files
.
В поле File selector можно указать директории и файлы кодовой базы, которые будут сканироваться. Если оставить это поле пустым, будут сканироваться все директории и файлы. По умолчанию не сканируется директория test*
. Используйте dir/**/file
для включения и !dir/**/!file
для исключения директорий и файлов кодовой базы из анализа. Формат поля File selector соответствует формату выбора файлов для анализа в Solar appScreener.
В поле Enable incremental scanning можно включить инкрементальное сканирование только измененных и новых файлов. По умолчанию эта опция выключена.
В поле Saving the downloaded file можно включить или отключить сохранение загруженных файлов. По умолчанию эта опция включена.
При добавлении инструмента в пайплайн для сканирования артефактов необходимо задать дополнительные параметры Scan Java libs и Scan JS libs, позволяющие настроить сканирование библиотек Java и JavaScript.
При добавлении инструмента в пайплайн AppSec.Hub в Solar AppScreener создается новый проект со стандартными настройками.
Примечание
Так как уязвимости в Solar appScreener не имеют уникального внутреннего идентификатора, при импорте уязвимостей в AppSec.Hub после их дедупликации выявленные идентичные уязвимости будут отображаться как одна уязвимость. В результате исходный список обнаруженных уязвимостей в appScreener может содержать больше уязвимостей, чем итоговый список в AppSec.Hub.
Соответствие уровней серьезности уязвимостей в инструментах
Шкала уровней серьезности уязвимостей в Solar appScreener не совпадает со шкалой уровней серьезности проблем безопасности в AppSec.Hub. При импорте проблем безопасности из Solar appScreener в AppSec.Hub уровни серьезности мапируются в соответствии с приведенной ниже таблицей.
Уровень серьезности в appScreener | Уровень серьезности в AppSec.Hub |
---|---|
Критический | Critical |
Средний | High |
Низкий | Medium |
Информационный | Low |
Сопоставление статусов проблем безопасности
Статус в appScreener | Статус в AppSec.Hub |
---|---|
Не обработано | To verify |
Подтверждено | Confirmed |
Отклонено | False Postitive |
Подключение SonarQube
Подключение SonarQube осуществляется на странице администрирования AppSec.Hub, см. раздел «Подключение инструментов разработки ПО».
Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.
В раскрывающемся меню поля Tool type открывшегося диалогового окна Create tool выберите пункт sast, а в поле Product — sonarqube.
После выбора этих значений окно Create tool примет следующий вид.
Для подключения укажите в данном окне следующие параметры:
- Задайте имя инструмента в поле Name.
- Укажите URL инструмента SonarQube.
- В поле Workspaces выберите рабочее пространство (-а), в котором будет использоваться SonarQube. Это может быть любое доступное рабочее пространство в AppSec.Hub.
-
Для данного инструмента доступны два способа авторизации — с использованием логина/пароля или с использованием токена. Выберите в поле Auth method предпочтительный способ авторизации и укажите необходимые для него параметры.
Примечание
Токен в инструменте SonarQube необходимо создать в профиле пользователя с правами администратора. Процесс создания токена в инструменте SonarQube описан в документации инструмента.
Управление токенами и права доступа также описаны в соответствующем разделе документации инструмента.
-
Информационное поле Management в правом верхнем углу окна Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.
- Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).
Нажмите кнопку Connect, чтобы проверить соединение с SonarQube.
AppSec.Hub отправит запрос на соединение с инструментом и в правом нижнем углу пользовательского интерфейса отобразится соответствующее уведомление.
Если соединение произошло успешно, нажмите кнопку Create, чтобы подключить инструмент, в противном случае проверьте правильность заполнения всех полей и внесите необходимые изменения.
Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/Workspaces name).
Особенности интеграции
Данный SAST-инструмент может добавляться только в пайплайны для сканирования кодовых баз.
Соответствие уровней серьезности уязвимостей в инструментах
Шкала уровней серьезности уязвимостей в SonarQube не совпадает со шкалой уровней серьезности проблем безопасности в AppSec.Hub. При импорте проблем безопасности из SonarQube в AppSec.Hub уровни серьезности мапируются в соответствии с приведенной ниже таблицей.
Уровень серьезности в SonarQube | Уровень серьезности в AppSec.Hub |
---|---|
Blocker | Critical |
Critical | High |
Major | Medium |
Low | Low |
Info | Low |
Сопоставление статусов проблем безопасности
В зависимости от статуса в SonarQube, статус проблемы безопасности в AppSec.Hub определяется в соответствии с приведенной ниже таблицей.
Статус в SonarQube | SonarQube Resolution | Статус в AppSec.Hub |
---|---|---|
Open | To verify | |
Confirmed | Confirmed | |
Resolved | False Postitive | False Postitive |
Resolved | Won't Fix | Accepted Risk |
Reopened | Confirmed | |
Resolved | Fixed | Fixed |
Closed | Fixed | Fixed |
Closed | Removed | Fixed |
Подключение Checkmarx
Подключение Checkmarx осуществляется на странице администрирования AppSec.Hub, см. раздел «Подключение инструментов разработки ПО».
Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.
В появившемся окне Create tool выберите элемент sast из выпадающего меню в поле Tool type и элемент checkmarx из выпадающего меню в поле Product.
Если выбраны эти два значения, окно Create tool выглядит следующим образом.
В этом окне определите следующие параметры для подключаемого инструмента Checkmarx:
- Имя инструмента задайте в поле Name.
- В поле URL укажите URL для инструмента Checkmarx.
- В поле Workspaces выберите рабочее пространство, которое будет использоваться при работе с Checkmarx. Это может быть любое доступное рабочее пространство в AppSec.Hub.
- В поле Authentication method выберите Login/password, для работы с Checkmarx это единственная опция.
-
Введите Login и Password учетной записи, которая выделена для доступа в данный инструмент. При необходимости перед именем пользователя через «/» указывается имя домена.
Примечание
Используемая учетная запись должна иметь права SAST Admin.
-
Информационное поле Management в правом верхнем углу окна Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.
-
Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).
Примечание
Значение в поле Root team может быть задано только при редактировании уже подключенного инструмента Checkmarx, при подключении это поле не заполняется.
Нажмите кнопку Connect, чтобы соединиться с Checkmarx.
AppSec.Hub отправит запрос на подключение инструмента Checkmarx. Если соединение было успешным, в правом нижнем углу экрана появится соответствующее уведомление.
Перед подключением к инструменту убедитесь, что селектор в правом верхнем углу окна Create tool находится в положении «включено», и нажмите кнопку Create. В правом нижнем углу экрана появится соответствующее уведомление.
Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/ Workspaces name).
Особенности интеграции
Данный SAST-инструмент может добавляться только в пайплайны для сканирования кодовых баз.
При редактировании подключенного к AppSec.Hub инструмента Checkmarx можно выбрать Root team в соответствующем поле из выпадающего списка команд в Checkmarx. Уровни вложенности в списке разделены символами «/». Выберите Root team и нажмите кнопку Update.
Если параметр Root team задан, он будет использоваться как корневой элемент иерархического списка команд при добавлении инструмента Checkmarx в пайплайн. Все сканирования, осуществляемые с помощью данного инструмента, будут проводиться для команд «внутри» корневой команды Root team. Если корневая команда не указана, будет доступен выбор из всего списка команд, существующих в Checkmarx.
При добавлении Checkmarx в пайплайн в окне конфигурации необходимо указать следующие параметры.
- Scan mode — режим сканирования — полное или инкрементальное (Full/Incremental).
- Predefined preset/Dynamically modified preset — выбор предустановленного или динамического пресета, который будет использоваться при сканировании. Опция Predefined preset позволяет следующим шагом выбрать любой импортированный из Checkmarx пресет. Более подробная информация о динамических и предустановленных пресетах Checkmarx приведена ниже в данном разделе.
- Preset — пресет Checkmarx, который будет использоваться для сканирования. Данный параметр используется, только если в предыдущем поле выбран Predefined preset.
-
Team — команда, элемент иерархического списка команд в Checkmarx. Если параметр Root team для инструмента не задан, то поле Team необходимо заполнить, выбрав существующую команду из выпадающего списка. Если параметр Root team указан, то корневая команда будет отображаться в дополнительном поле, а команда может быть выбрана или создана внутри нее. В этом случае поле Team также можно заполнить, выбрав команду из выпадающего списка. Если поле Team оставлено пустым, в Root team автоматически будет создана новая команда с именем, соответствующим названию приложения в AppSec.Hub.
Примечание
При создании пайплайна по шаблону, в котором задан параметр Root team, а поле Team оставлено пустым, в Root team будет автоматически создаваться новая команда для каждого нового приложения по его названию. Все остальные настройки будут унаследованы из шаблона.
-
Excluded directories — в данном поле можно указать каталоги и файлы, которые не будут проверяться во время сканирования. В качестве параметра можно задать разделенный запятыми список. В качестве универсального знака, заменяющего один или несколько символов, поддерживается символ подстановки «*». Например, если в поле Excluded directories указать
test*
, из сканирования будут исключены все папки в дереве каталогов, которые начинаются сtest
.
Динамические и предустановленные пресеты в Checkmarx
Если в качестве сканирующего инструмента используется Checkmarx, при его добавлении в AppSec.Hub реализована возможность использования статических предустановленных пресетов (Predefined preset) или динамических пресетов (Dynamically modified preset).
Выбрать используемый тип пресета можно только при создании инструмента. При редактировании инструмента изменить тип пресета невозможно.
Использование Predefined preset позволяет при добавлении инструмента в пайплайн выбрать в поле Preset предустановленный пресет, в котором определены и сгруппированы проверки, находящиеся в Preset Manager в инструменте Checkmarx, такие как All, Checkmarx Default, Checkmarx Express и т. д. Все сканирования этого пайплайна будут использовать выбранный пресет. Также он будет передаваться как один из параметров при создании дочерних пайплайнов.
Примечание
Если тот или иной язык программирования (и соответствующие проверки) не выбран в предустановленном пресете (Predefined preset), написанный на нем код при сканировании будет игнорироваться.
При создании конфигурации сканирования с динамическим пресетом AppSec.Hub автоматически создает в Checkmarx пресет, в название которого включаются имя приложения и имя сканируемого объекта. В дальнейшем при использовании Dynamically modified preset каждый раз во время сканирования происходит автоматическое распознавание языков программирования, составляющих кодовую базу, и созданный динамический пресет наполняется проверками для всех обнаруженных языков. Если какой-либо из языков программирования исчезнет из кодовой базы, все проверки для него будут удалены из пресета. Дочерние пайплайны, созданные на базе пайплайна с динамическим пресетом, будут создавать свои динамические пресеты для своего приложения и своей кодовой базы, а также будут динамически обновляться при каждом сканировании.
Среди преимуществ использования динамических пресетов можно выделить следующие:
- Оперативная реакция на изменение состава кодовой базы (появление или исчезновение языков программирования) с последующим обновлением пресета с целью активации специфических проверок.
- Сокращение времени сканирования в результате пропуска ненужных проверок.
Если в AppSec.Hub создано правило (-а), определяющее условное принятие риска, соответствующее условие (-я) также будет автоматически добавлено в динамический пресет инструмента. Каждая проверка в пресете в Preset Manager в Checkmarx может быть использована в качестве категории проблемы безопасности в поле SAST issue category при условном принятии риска для SCA Security уязвимостей (см. раздел «Безусловное и условное принятие риска с созданием правила»). Проверка, указанная при условном принятии риска в качестве категории проблемы безопасности в поле SAST issue category, будет всегда автоматически включаться в динамический пресет.
Соответствие уровней серьезности уязвимостей в инструментах
Шкала уровней серьезности уязвимостей в инструменте Checkmarx не совпадает со шкалой уровней серьезности проблем безопасности в AppSec.Hub. При импорте проблем безопасности из Checkmarx в AppSec.Hub уровни серьезности мапируются в соответствии с приведенной ниже таблицей.
Уровень серьезности в Checkmarx | Уровень серьезности в AppSec.Hub |
---|---|
High | High |
Medium | Medium |
Low | Low |
Info | Low |
Сопоставление статусов проблем безопасности
В зависимости от статуса в Checkmarx, статус проблемы безопасности в AppSec.Hub определяется в соответствии с приведенной ниже таблицей.
Статус в Checkmarx | Статус в AppSec.Hub |
---|---|
To Verify | To Verify |
Not Exploitable | False Positive |
Confirmed | Confirmed |
Urgent | Confirmed |
Proposed Not Exploitable | False Positive |
Подключение PT Application Inspector
Подключение PT Application Inspector осуществляется на странице администрирования AppSec.Hub, см. раздел «Подключение инструментов разработки ПО». Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.
В раскрывающемся меню поля Tool type открывшегося диалогового окна Create tool выберите пункт sast, а в поле Product — appinspector.
После выбора этих значений окно Create tool примет следующий вид.
Для подключения укажите в данном окне следующие параметры:
- Задайте имя инструмента в поле Name.
- Укажите URL инструмента Application Inspector.
- В поле Locale выберите язык (RU/EN) для инструмента PT Application Inspector. Этот параметр является опциональным при создании инструмента и определяет язык загружаемых в AppSec.Hub описаний уязвимостей и категорий. По умолчанию этот параметр имеет значение EN.
- Поле Template предназначено для выбора шаблона, в котором будут создаваться отчеты PT Application Inspector. При создании инструмента это поле является неактивным. Оно может быть заполнено только при редактировании уже созданного инструмента при условии, что в поле Locale выбрано одно из возможных значений (RU/EN). Для каждого из выбранных в поле Locale значений будет доступен свой список шаблонов, из которого можно выбрать необходимый шаблон. При смене значения в поле Locale значение в поле Template сбрасывается и его надо заново устанавливать. По умолчанию используется шаблон Отчет в формате JSON (fixed).
- В поле Workspaces выберите рабочее пространство (-а), в котором будет использоваться PT Application Inspector. Это может быть любое доступное рабочее пространство в AppSec.Hub.
-
Для данного инструмента доступен только один способ авторизации — с использованием токена. Введите токен в соответствующее поле.
Примечание
Процесс создания токена описан в документации инструмента PT Application Inspector в разделе «Создание токена доступа».
При создании токена в инструменте должен быть установлено разрешение Для легкого агента и плагинов CI/CD. Это обеспечит токену необходимые для работы права.
-
Информационное поле Management в правом верхнем углу окна Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.
- Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).
Нажмите кнопку Connect, чтобы проверить соединение с PT Application Inspector.
AppSec.Hub отправит запрос на соединение с инструментом и в правом нижнем углу пользовательского интерфейса отобразится соответствующее уведомление.
Если соединение произошло успешно, нажмите кнопку Create, чтобы подключить инструмент, в противном случае проверьте правильность заполнения всех полей и внесите необходимые изменения.
Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/Workspaces name).
Особенности интеграции
Данный SAST-инструмент может добавляться в пайплайны для тестирования кодовых баз и артефактов (кроме Docker-контейнеров и yum-артефактов).
При добавлении инструмента PT AI в пайплайн или при редактировании уже добавленного в пайплайн инструмента необходимо выбрать один или несколько языков для сканирования.
Примечание
При выборе языков для сканирования необходимо соблюдать соответствие языку (языкам) сканируемого объекта. Например, при сканировании кодовой базы, написанной на языке Ruby, следует выбрать в списке для проверки язык Ruby, чтобы получить список уязвимостей для языка Ruby.
Примечание
Язык CSharp (Windows) может быть просканирован только с помощью агента PT AI для Windows. Попытка сканирования языка CSharp (Windows) с помощью агента PT AI для Linux закончится неуспешно. Язык CSharp (Windows, Linux) может быть просканирован с помощью как агента PT AI для Windows, так и агента PT AI для Linux.
Примечание
Для языка Java также можно выбрать версию JDK.
Если пайплайн с выбранным списком языков является шаблоном, то его дочерние пайплайны при создании будут наследовать такой же список языков.
При запуске сканирования из AppSec.Hub во внешнем инструменте создается новый проект с настройками, которые автоматически выбираются AppSec.Hub. В проекте по умолчанию будут включены следующие опции: модули Поиск уязвимостей исходного кода, Анализ потока данных (этот модуль включен только для языков программирования Java, C#, Visual Basic, PHP, JavaScript. Включение этого модуля для прочих языков, таких как Phyton, Objective-C, Swift, C/C++, Go, Kotlin, SQL приведет к ошибке сканирования), Поиск по шаблонам, Поиск уязвимостей конфигурации, а также параметры Использование доступных public и protected методов и Загрузка зависимостей. Описание модулей и параметров приведено в документации разработчика продукта в разделах «Создание проекта сканирования» и «Настройка параметров сканирования».
Перед проведением повторных сканирований опции проекта могут быть включены или выключены в инструменте сканирования. При запуске повторного сканирования из AppSec.Hub будут использоваться измененные в инструменте PT AI значения опций.
В случае, если какой-либо из параметров проекта, задаваемый в AppSec.Hub, например, язык программирования или версия JDK, будет изменен, все опции проекта во внешнем инструменте будут вновь приведены к значениям, устанавливаемым по умолчанию в AppSec.Hub.
Также значения параметров, устанавливаемые по умолчанию в AppSec.Hub, будут применены в случае, если при запуске сканирования проект с указанным именем не будет найден в PT AI.
Соответствие уровней серьезности уязвимостей в инструментах
Шкала уровней серьезности уязвимостей в инструменте PT AI не совпадает со шкалой уровней серьезности проблем безопасности в AppSec.Hub. При импорте проблем безопасности из PT AI в AppSec.Hub уровни серьезности мапируются в соответствии с приведенной ниже таблицей.
Уровень серьезности в PT AI | Уровень серьезности в AppSec.Hub |
---|---|
High | High |
Medium | Medium |
Low | Low |
Potential | Low |
Сопоставление статусов проблем безопасности
Статус уязвимости в инструменте PT AI определяется следующим образом: уязвимость может быть «подтверждена» (IsApproved), «опровергнута» (IsDiscarded) или находиться «без статуса».
Примечание
В PT AI Enterprise Edition предусмотрена возможность подавления отображения отдельных проблем безопасности в результатах сканирования путем добавления комментария ptai:suppress
в исходный код приложения — такие уязвимости в PT AI имеют статус «исключена» (IsSuppressed) и загружаются в AppSec.Hub как Accepted Risk
.
В зависимости от статуса в PT AI, статус проблемы безопасности в AppSec.Hub определяется в соответствии с приведенной ниже таблицей.
Статус в PT AI | Статус в AppSec.Hub |
---|---|
Без статуса | To verify |
Опровергнута (IsDiscarded) |
False Positive |
Подтверждена (IsApproved) |
Confirmed |
Исключена (IsSuppressed) |
Accepted Risk |
DAST
Подключение Netsparker
Подключение Netsparker осуществляется на странице администрирования AppSec.Hub, см. см. раздел «Подключение инструментов разработки ПО».
Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.
В появившемся окне Create tool выберите элемент dast из выпадающего меню в поле Tool type и элемент netsparker из выпадающего меню в поле Product.
Если выбраны эти два значения, окно Create tool выглядит следующим образом.
В этом окне определите следующие параметры для подключаемого инструмента Netsparker:
- Имя инструмента задайте в поле Name.
- В поле URL укажите URL для инструмента Netsparker.
- В поле Workspaces выберите рабочее пространство, которое будет использоваться при работе с Netsparker. Это может быть любое доступное рабочее пространство в AppSec.Hub.
- В поле Authentication method выберите User ID/Token.
-
Укажите User ID и Token учетной записи, которая выделена для доступа в данный инструмент.
Примечание
Используемая учетная запись должна иметь права Account Owner.
-
Информационное поле Management в правом верхнем углу окна Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.
- Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).
Нажмите кнопку Connect, чтобы соединиться с Netsparker.
AppSec.Hub отправит запрос на подключение инструмента Netsparker. Если соединение было успешным, в правом нижнем углу экрана появится соответствующее уведомление.
Перед подключением к инструменту убедитесь, что селектор в правом верхнем углу окна Create tool находится в положении «включено», и нажмите кнопку Create. В правом нижнем углу экрана появится соответствующее уведомление.
Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/ Workspaces name).
Особенности интеграции
Соответствие уровней серьезности уязвимостей в инструментах
Шкала уровней серьезности уязвимостей в Netsparker совпадает со шкалой уровней серьезности проблем безопасности в AppSec.Hub, см. табл. ниже.
Уровень серьезности в Netsparker | Уровень серьезности в AppSec.Hub |
---|---|
Critical | Critical |
High | High |
Medium | Medium |
Low | Low |
Сопоставление статусов проблем безопасности
В зависимости от статуса в Netsparker, статус проблемы безопасности в AppSec.Hub определяется в соответствии с приведенной ниже таблицей.
Статус в Netsparker | Статус в AppSec.Hub |
---|---|
Present | To verify |
Accepted risk | Accepted risk |
False Positive | False Positive |
Fixed (Unconfirmed) | Fixed |
Fixed (Confirmed) | Fixed |
Подключение Acunetix
Подключение Acunetix осуществляется на странице администрирования AppSec.Hub, см. раздел «Подключение инструментов разработки ПО». Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.
В раскрывающемся меню поля Tool type открывшегося диалогового окна Create tool выберите пункт dast, а в поле Product — acunetix.
После выбора этих значений окно Create tool примет следующий вид.
Для подключения укажите в данном окне следующие параметры:
- Задайте имя инструмента в поле Name.
- Укажите URL инструмента Acunetix.
- В поле Workspaces выберите рабочее пространство (-а), в котором будет использоваться Acunetix. Это может быть любое доступное рабочее пространство в AppSec.Hub.
- Для данного инструмента доступен только один способ авторизации — с использованием токена. Введите токен в соответствующее поле.
- Информационное поле Management в правом верхнем углу окна Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.
- Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).
Нажмите кнопку Connect, чтобы проверить соединение с Acunetix.
AppSec.Hub отправит запрос на соединение с инструментом и в правом нижнем углу пользовательского интерфейса отобразится соответствующее уведомление.
Если соединение произошло успешно, нажмите кнопку Create, чтобы подключить инструмент, в противном случае проверьте правильность заполнения всех полей и внесите необходимые изменения.
Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/Workspaces name).
Особенности интеграции
В настоящее время поддерживается только совместная работа Acunetix с Jenkins.
Соответствие уровней серьезности уязвимостей в инструментах
Шкала уровней серьезности уязвимостей в инструменте Acunetix не совпадает со шкалой уровней серьезности проблем безопасности в AppSec.Hub. При импорте проблем безопасности из Acunetix в AppSec.Hub уровни серьезности мапируются в соответствии с приведенной ниже таблицей.
Уровень серьезности в Acunetix | Уровень серьезности в AppSec.Hub |
---|---|
High (confidence ≥95%) | Critical |
High (confidence < 95%) | High |
Medium | Medium |
Low | Low |
Information | Low |
Сопоставление статусов проблем безопасности
В зависимости от статуса в Acunetix, статус проблемы безопасности в AppSec.Hub определяется в соответствии с приведенной ниже таблицей.
Статус в Acunetix | Статус в AppSec.Hub |
---|---|
Open | To verify |
Ignored | Accepted risk |
False Positive | False Positive |
Fixed | Fixed |
Rediscovered | Confirmed |
Подключение PT BlackBox
Подключение PT BlackBox осуществляется на странице администрирования AppSec.Hub, см. раздел «Подключение инструментов разработки ПО». Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.
В раскрывающемся меню поля Tool type открывшегося диалогового окна Create tool выберите пункт dast, а в поле Product — blackbox.
После выбора этих значений окно Create tool примет следующий вид.
Для подключения укажите в данном окне следующие параметры:
- Задайте имя инструмента в поле Name.
- Укажите URL инструмента PT BlackBox.
- В поле Workspaces выберите рабочее пространство (-а), в котором будет использоваться PT BlackBox. Это может быть любое доступное рабочее пространство в AppSec.Hub.
-
Для данного инструмента доступен только один способ авторизации — с использованием токена. Введите токен в соответствующее поле.
Примечание
Работа с токенами в инструменте PT BlackBox описана в документации инструмента.
-
Информационное поле Management в правом верхнем углу окна Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.
-
Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).
Примечание
Значение в поле Group может быть задано только при редактировании уже подключенного инструмента PT BlackBox, при подключении это поле не заполняется.
Нажмите кнопку Connect, чтобы проверить соединение с PT BlackBox.
AppSec.Hub отправит запрос на соединение с инструментом и в правом нижнем углу пользовательского интерфейса отобразится соответствующее уведомление.
Если соединение произошло успешно, нажмите кнопку Create, чтобы подключить инструмент, в противном случае проверьте правильность заполнения всех полей и внесите необходимые изменения.
Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/Workspaces name).
Особенности интеграции
Инструмент PT BlackBox предназначен для DAST-сканирования сайтов (инстансов, или экземпляров приложений в терминах AppSec.Hub).
AppSec.Hub не содержит настроек для интеграции с PT BB для версий PT BB ниже 2.5.
Начиная с версии 2.5, в инструменте PT BB сканирование должно производиться в группе.
Примечание
Для запуска сканирования в PT BB у пользователя должна быть роль Модератор в группе, в которой будет производиться сканирование.
При редактировании подключенного к AppSec.Hub инструмента PT BB группу можно выбрать в поле Group из выпадающего списка. В данный список входят те группы, к которым пользователь имеет доступ в PT BB. Выберите группу и нажмите кнопку Update.
Выбранная группа будет использоваться для всех пайплайнов, у которых в конфигурации инструмента PT BB не указана группа. Это относится ко всем ранее созданным конфигурациям, в которых не требовалось указывать группу.
Эта же группа будет использоваться по умолчанию при добавлении инструмента PT BB в пайплайн (см. раздел «Security Pipeline экземпляра приложения»).
В поле Group можно выбрать любую из доступных пользователю групп из выпадающего списка, а в поле Authorization profile можно указать профиль авторизации.
Заданные таким образом группа и профиль авторизации будут наследоваться в дочерние пайплайны при создании пайплайнов по шаблону, если они будут указаны в шаблоне.
Кроме настроек работы с группами, следует учитывать следующую особенность работы с PT BB. В AppSec.Hub для сканирования инстанса существует возможность задать реквизиты пользователя в поле Credentials (см. раздел «Создание/конфигурирование экземпляра приложения»). При интеграции с PT BB эти данные не используются. Если для сканирования сайта требуется авторизация, ее необходимо задать в AppSec.Hub в поле Authorization profile или в инструменте PT BB в настройках сайта в разделе Авторизация с помощью Настройки профиля авторизации.
При запуске из AppSec.Hub без указания профиля авторизации, если в PT BB для сканируемого сайта авторизация еще не задана, сканирование будет выполняться без авторизации. После настройки авторизации в инструменте PT BB, запущенные из AppSec.Hub сканирования будут осуществляться уже с указанной авторизацией.
Соответствие уровней серьезности уязвимостей в инструментах
Шкала уровней серьезности уязвимостей в инструменте PT BB не совпадает со шкалой уровней серьезности проблем безопасности в AppSec.Hub. При импорте проблем безопасности из PT BB в AppSec.Hub уровни серьезности мапируются в соответствии с приведенной ниже таблицей.
Уровень серьезности в PT BB | Уровень серьезности в AppSec.Hub |
---|---|
High | High |
Medium | Medium |
Low | Low |
Info | Low |
Сопоставление статусов проблем безопасности
При импорте в AppSec.Hub все уязвимости из инструмента PT BB получают статус To verify
. Дальнейшее управление статусами уязвимостей можно осуществлять в AppSec.Hub.
Примечание
При импорте уязвимостей из инструмента PT BB информация о кодах ответа из раздела Техническая информация не загружается в AppSec.Hub.
Подключение OWASP ZAP
OWASP ZAP для AppSec.Hub является отдельным сервисом, который можно запустить и сконфигурировать отдельно от AppSec.Hub. Подробное описание приведено в разделе «Установка и запуск ZAP».
Подключение OWASP ZAP осуществляется на странице администрирования AppSec.Hub, см. раздел «Подключение инструментов разработки ПО». Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.
В раскрывающемся меню поля Tool type открывшегося диалогового окна Create tool выберите пункт dast, а в поле Product — zap.
После выбора этих значений окно Create tool примет следующий вид.
Для подключения укажите в данном окне следующие параметры:
- Задайте имя инструмента в поле Name.
- Укажите URL инструмента OWASP ZAP.
- В поле Workspaces выберите рабочее пространство (-а), в котором будет использоваться OWASP ZAP. Это может быть любое доступное рабочее пространство в AppSec.Hub.
-
Для данного инструмента доступен только один способ авторизации — с использованием токена. Введите токен в соответствующее поле.
Примечание
При подключении необходимо указать токен, используемый при развертывании сервиса OWASP ZAP. Он задается как параметр в конфигурации сервиса.
-
Информационное поле Management в правом верхнем углу окна Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.
- Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).
Нажмите на кнопку Connect, чтобы проверить соединение с OWASP ZAP.
AppSec.Hub отправит запрос на соединение с инструментом и в правом нижнем углу пользовательского интерфейса отобразится соответствующее уведомление.
Если соединение произошло успешно, нажмите кнопку Create, чтобы подключить инструмент, в противном случае проверьте правильность заполнения всех полей и внесите необходимые изменения.
Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/Workspaces name).
Особенности интеграции
Данный инструмент используется для DAST-сканирования сайтов (инстансов, или экземпляров приложений в терминах AppSec.Hub).
Добавить OWASP ZAP в качестве сканирующего инструмента в пайплайн можно двумя способами – с указанием параметров в окне конфигурации или с помощью загрузки конфигурационного файла.
Подключение с указанием параметров в окне конфигурации
При добавлении OWASP ZAP в качестве сканирующего инструмента в пайплайн с указанием параметров в окне конфигурации необходимо выключить селектор Using config files.
После этого можно установить следующие опциональные параметры:
-
Session settings — настройки аутентификации (секция
authentication
) и сессии (секцияsessionManagement
), задаваемые пользователем и представленные в виде конфигурационного yaml-файла. Они относятся к конфигурации инструмента OWASP ZAP (см. документацию инструмента).Если для сканирования сайта требуется авторизация, ее необходимо задать в конфигурационном yaml-файле в секции
authentication
.В AppSec.Hub для сканирования инстанса (сайта) существует возможность задать реквизиты пользователя в поле Credentials (см. раздел «Создание/конфигурирование экземпляра приложения»). При настройке OWASP ZAP эти данные используются следующим образом: они выгружаются в раздел
users
конфигурационного yaml-файла инструмента OWASP ZAP. Кроме того, они могут быть использованы в качестве значений параметров%username%
и%password%
в секцииauthentication
задающего настройки сессии yaml-скрипта (см. пример ниже).Пример
Пример задающего настройки сессии yaml-скрипта, который можно ввести в поле Session settings:
authentication: method: "form" parameters: loginRequestBody: "username={%username%}&password={%password%}" loginPageUrl: "http://localhost:8080/#/login" loginRequestUrl: "http://localhost:8080/hub/rest/auth/login" verification: method: "response" pollFrequency: 60 pollUnits: "requests" pollUrl: "" pollPostData: "" sessionManagement: method: "cookie" parameters: {}
-
Excluded URL’s — все адреса, которые будут пропущены при сканированиях.
- Scan modes — типы сканирования инструмента OWASP ZAP. В этом поле должен быть выбран хотя бы один тип сканирования. Также можно выбрать не одно, а несколько значений.
- Enter swagger URL — это поле появляется в случае, когда в поле Scan modes было выбрано значение Open API. В этом поле необходимо указать путь к документации Open API сканируемого сайта (экземпляра приложения).
После установки параметров нажмите на кнопку Create.
Подключение с помощью загрузки конфигурационного файла
При добавлении OWASP ZAP в качестве сканирующего инструмента в пайплайн с помощью загрузки конфигурационного файла необходимо выполнить следующие шаги:
В окне конфигурации включите селектор Using config files.
Выберите или перетащите в поле Config file yaml-файл, содержащий конфигурационный файл OWASP ZAP.
При необходимости можно добавить в конфигурацию дополнительный zip-файл со скриптами для yaml-файла, нажав на кнопку + add script archive (.zip).
Нажмите на кнопку Create.
Соответствие уровней серьезности уязвимостей в инструментах
Шкала уровней серьезности уязвимостей в OWASP ZAP совпадает со шкалой уровней серьезности проблем безопасности в AppSec.Hub, см. таблицу ниже.
Уровень серьезности в OWASP ZAP | Уровень серьезности в AppSec.Hub |
---|---|
High | High |
Medium | Medium |
Low | Low |
Сопоставление статусов проблем безопасности
При импорте в AppSec.Hub все уязвимости из инструмента OWASP ZAP получают статус To verify
. Дальнейшее управление статусами уязвимостей можно осуществлять в AppSec.Hub.
Подключение Стингрей
Подключение Стингрей осуществляется на странице администрирования AppSec.Hub, см. раздел «Подключение инструментов разработки ПО». Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.
В раскрывающемся меню поля Tool type открывшегося диалогового окна Create tool выберите пункт dast, а в поле Product — mdast.
После выбора этих значений окно Create tool примет следующий вид.
Для подключения укажите в данном окне следующие параметры:
- Задайте имя инструмента в поле Name.
- Укажите URL инструмента Стингрей.
- В поле Workspaces выберите рабочее пространство (-а), в котором будет использоваться Стингрей. Это может быть любое доступное рабочее пространство в AppSec.Hub.
- В поле Authentication method выберите Login/Password/Token, для работы со Стингрей это единственная опция.
-
Введите Login и Password учетной записи, которая выделена для доступа в данный инструмент. Введите токен в соответствующее поле.
Примечание
Для успешной интеграции необходимо, чтобы у пользователя в инструменте Стингрей в административных правах доступа была роль Администратора компании.
Работа с токеном описана в документации инструмента Стингрей в разделе Интеграции. Токен компании позволяет работать со всеми проектами этой компании в инструменте Стингрей. Для работы с проектами другой компании в инструменте Стингрей будет необходимо указать токен соответствующей компании.
-
Информационное поле Management в правом верхнем углу окна Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.
- Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).
Нажмите кнопку Connect, чтобы проверить соединение со Стингрей.
AppSec.Hub отправит запрос на соединение с инструментом и в правом нижнем углу пользовательского интерфейса отобразится соответствующее уведомление.
Если соединение произошло успешно, нажмите кнопку Create, чтобы подключить инструмент, в противном случае проверьте правильность заполнения всех полей и внесите необходимые изменения.
Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/Workspaces name).
Особенности интеграции
Данный инструмент используется для сканирования мобильных приложений Android и iOS.
При добавлении Стингрей в качестве сканирующего инструмента в пайплайн необходимо в окне конфигурации указать следующие параметры:
- Select OS — выбор архитектуры сканируемого мобильного приложения (Android или iOS).
- Existing project / New project — если проект для сканирования мобильного приложения уже существует в инструменте Стингрей, его параметры необходимо указать на вкладке Existing project. Для нового проекта необходимо выбрать вкладку New project.
Для существующего проекта указываются следующие параметры:
- Project — название проекта в Стингрей. Этот параметр можно выбрать из выпадающего списка.
- Profile — профиль сканирования в выбранном проекте в Стингрей. Этот параметр можно выбрать из выпадающего списка.
- Test case — название ранее записанного тест-кейса в Стингрей для выбранного проекта. Этот параметр можно выбрать из выпадающего списка. Данное поле можно не заполнять, например, в случае если для выбранного проекта не было создано ни одного тест-кейса.
- Agent — тип архитектуры, на которой необходимо сканировать мобильное приложение, например, Android 11 или iOS 14.
Для нового проекта указываются следующие параметры:
- Project — в этом поле необходимо указать название проекта. Система предлагает название проекта по умолчанию, включающее в себя название приложения в AppSec.Hub, название пакета сканируемого мобильного приложения и порядковый номер создаваемой конфигурации.
- Agent — тип архитектуры, на которой необходимо сканировать мобильное приложение, например, Android 11 или iOS 14.
Примечание
При добавлении инструмента Стингрей в пайплайн, который в AppSec.Hub является шаблоном и у которого существует дочерний пайплайн, в случае выбора нового проекта в Стингрей будет создан проект для родительского пайплайна, а для дочернего пайплайна также будет создан отдельный проект. В случае выбора уже существующего проекта при добавлении инструмента Стингрей в родительский пайплайн, дочерний пайплайн будет использовать тот же самый проект.
При работе в AppSec.Hub невозможно создать новое правило в Стингрей. Также невозможно запустить сканирование нескольких артефактов в одном пайплайне.
Соответствие уровней серьезности уязвимостей в инструментах
Шкала уровней серьезности уязвимостей в инструменте Стингрей не совпадает со шкалой уровней серьезности проблем безопасности в AppSec.Hub. При импорте проблем безопасности из Стингрей в AppSec.Hub уровни серьезности мапируются в соответствии с приведенной ниже таблицей.
Уровень серьезности в Стингрей | Уровень серьезности в AppSec.Hub |
---|---|
Критический | Critical |
Высокий | High |
Средний | Medium |
Низкий | Low |
Инфо | Low |
Неизвестно | Low |
Сопоставление статусов проблем безопасности
В зависимости от статуса в Стингрей, статус проблемы безопасности в AppSec.Hub определяется в соответствии с приведенной ниже таблицей.
Статус в Стингрей | Статус в AppSec.Hub |
---|---|
Не обработан | To verify |
Подтвержден | Confirmed |
Ложное срабатывание | False Positive |
SCA
Подключение Clair
Подключение Clair осуществляется на странице администрирования AppSec.Hub, см. см. раздел «Подключение инструментов разработки ПО».
Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.
В появившемся окне Create tool выберите элемент sca из выпадающего меню в поле Tool type и элемент clair из выпадающего меню в поле Product.
Если выбраны эти два значения, окно Create tool выглядит следующим образом.
В этом окне определите следующие параметры для подключаемого инструмента Clair:
- Имя инструмента задайте в поле Name.
- В поле URL укажите URL для инструмента Clair.
- В поле Workspaces выберите рабочее пространство, которое будет использоваться при работе с Clair. Это может быть любое доступное рабочее пространство в AppSec.Hub.
- В поле Authentication method выберите Anonymous.
- Информационное поле Management в правом верхнем углу окна Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.
- Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).
Нажмите кнопку Connect, чтобы соединиться с Clair.
AppSec.Hub отправит запрос на подключение инструмента Clair. Если соединение было успешным, в правом нижнем углу экрана появится соответствующее уведомление.
Перед подключением к инструменту убедитесь, что селектор в правом верхнем углу окна Create tool находится в положении «включено», и нажмите кнопку Create. В правом нижнем углу экрана появится соответствующее уведомление.
Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/ Workspaces name).
Особенности интеграции
Данный инструмент используется только для сканирования Docker-артефактов.
Соответствие уровней серьезности уязвимостей в инструментах
Шкала уровней серьезности уязвимостей в Clair совпадает со шкалой уровней серьезности проблем безопасности в AppSec.Hub, см. табл. ниже.
Уровень серьезности в Clair | Уровень серьезности в AppSec.Hub |
---|---|
Critical | Critical |
High | High |
Medium | Medium |
Low | Low |
Сопоставление статусов проблем безопасности
Все уязвимости из Clair импортируются в AppSec.Hub со статусом To verify
. Дальнейшее управление статусами осуществляется в AppSec.Hub.
Подключение Dependency-Track
Подключение Dependency-Track осуществляется на странице администрирования AppSec.Hub, см. раздел «Подключение инструментов разработки ПО». Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.
В раскрывающемся меню поля Tool type открывшегося диалогового окна Create tool выберите пункт sca, а в поле Product — dependency-track.
После выбора этих значений окно Create tool примет следующий вид.
Для подключения укажите в данном окне следующие параметры:
- Задайте имя инструмента в поле Name.
- Укажите URL инструмента Dependency-Track.
- В поле Workspaces выберите рабочее пространство (-а), в котором будет использоваться Dependency-Track. Это может быть любое доступное рабочее пространство в AppSec.Hub.
-
Для данного инструмента доступен только один способ авторизации — с использованием токена. Введите токен в соответствующее поле.
Примечание
Создание токена в инструменте Dependency-Track описано в документации инструмента.
В инструменте Dependency-Track должен быть создан токен для команды, у которой есть следующий набор прав в поле Permissions: BOM_UPLOAD, PROJECT_CREATION_UPLOAD, PORTFOLIO_MANAGEMENT, VIEW_PORTFOLIO, VIEW_VULNERABILITY, VIEW_POLICY_VIOLATION. Это обеспечит токену необходимые для работы права.
-
Информационное поле Management в правом верхнем углу окна Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.
- Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).
Нажмите кнопку Connect, чтобы проверить соединение с Dependency-Track.
AppSec.Hub отправит запрос на соединение с инструментом и в правом нижнем углу пользовательского интерфейса отобразится соответствующее уведомление.
Если соединение произошло успешно, нажмите кнопку Create, чтобы подключить инструмент, в противном случае проверьте правильность заполнения всех полей и внесите необходимые изменения.
Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/Workspaces name).
Особенности интеграции
Dependency-Track является SCA-инструментом и может быть добавлен как в пайплайны для тестирования кодовых баз, так и в пайплайны для тестирования всех поддерживаемых в системе типов артефактов (см. раздел «Артефакты»).
AppSec.Hub не содержит настроек для интеграции с Dependency-Track при добавлении инструмента. При этом существуют особенности интеграции, которые следует учитывать при работе с данным инструментом.
При первом запуске сканирования из AppSec.Hub в инструменте Dependency-Track создается новый проект. Номер, автоматически присваиваемый сканированию в AppSec.Hub, используется как версия проекта в Dependency-Track. Таким образом, для каждого сканирования в AppSec.Hub будет создана новая версия проекта в Dependency-Track.
При создании проекта в Dependency-Track параметру Classifier присваивается значение Application. Исключением является сканирование Docker-артефактов — в этом случае параметр Classifier получает значение Container.
При запуске повторного сканирования из AppSec.Hub в Dependency-Track производится поиск уже существующего проекта с таким же именем без учета версии. В случае, если такой проект был найден, производится добавление версии проекта путем клонирования найденной версии проекта с включенными параметрами Include tags, Include properties, Include components, Include services, Include audit history и Include access control list, что позволяет сохранить настройки проекта, установленные в инструменте Dependency-Track перед проведением повторного сканирования. Если проекта с заданным в сканировании именем обнаружить в Dependency-Track не удалось, происходит создание нового проекта. Во всех случаях в качестве версии проекта используется номер сканирования в AppSec.Hub.
Dependency-Track позволяет обнаруживать как SCA Security-уязвимости, так и SCA Compliance-уязвимости (в терминах AppSec.Hub). В самом инструменте сканирования SCA Security-уязвимости — это Audit vulnerabilities, а SCA Compliance-уязвимости — это Policy violations.
Соответствие уровней серьезности уязвимостей в инструментах
Шкалы уровней серьезности как для SCA Security, так и для SCA Compliance уязвимостей в инструменте Dependency-Track не совпадают со шкалой уровней серьезности проблем безопасности в AppSec.Hub. При импорте проблем безопасности из Dependency-Track в AppSec.Hub уровни серьезности SCA Security-уязвимостей (поле Severity в инструменте) и SCA Compliance-уязвимостей (поле Violation State в инструменте) мапируются в соответствии с двумя приведенными ниже таблицами.
Для SCA Security-уязвимостей:
Уровень серьезности в Dependency-Track | Уровень серьезности в AppSec.Hub |
---|---|
Critical | Critical |
High | High |
Medium | Medium |
Low | Low |
Unassigned | Low |
Для SCA Compliance-уязвимостей:
Уровень серьезности в Dependency-Track | Уровень серьезности в AppSec.Hub |
---|---|
Fail | Critical |
Warn | Medium |
Inform | Low |
Сопоставление статусов проблем безопасности
В зависимости от статуса в Dependency-Track, статусы SCA Security-уязвимостей (поле Analysis в инструменте) и SCA Compliance-уязвимостей (поле Analysis в инструменте) в AppSec.Hub определяются в соответствии с приведенными ниже таблицами.
Для SCA Security-уязвимостей:
Статус в Dependency-Track | Статус в AppSec.Hub |
---|---|
Статус не указан | To verify |
Not Set | To verify |
Exploitable | Confirmed |
In Triage | Confirmed |
Resolved | Fixed |
False Positive | False Positive |
Not Affected | Accepted risk |
Для SCA Compliance-уязвимостей:
Статус в Dependency-Track | Статус в AppSec.Hub |
---|---|
Статус не указан | To verify |
Not Set | To verify |
Approved | Confirmed |
Rejected | Accepted risk |
Примечание
Для SCA Compliance-уязвимостей значение поля Policy Name в инструменте задает тип категории проблемы безопасности (поле Category) в AppSec.Hub.
Для SCA Security-уязвимостей тип категории проблемы безопасности в AppSec.Hub не импортируется — в поле Category в AppSec.Hub указывается значение N/A.
Подключение Trivy
Подключение Trivy осуществляется на странице администрирования AppSec.Hub, см. раздел «Подключение инструментов разработки ПО». Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.
В раскрывающемся меню поля Tool type открывшегося диалогового окна Create tool выберите пункт sca, а в поле Product — trivy.
После выбора этих значений окно Create tool примет следующий вид.
Для подключения укажите в данном окне следующие параметры:
- Задайте имя инструмента в поле Name.
- Укажите URL инструмента Trivy.
- В поле Java Db можно указать ссылку на локальную базу данных уязвимостей по Java.
- Установленный флажок Air gap environment указывает на работу инструмента в изолированном окружении без доступа в интернет. Этот параметр и поле Java Db позволяют настроить конфигурацию для работы Trivy в закрытом контуре.
- В поле Workspaces выберите рабочее пространство (-а), в котором будет использоваться Trivy. Это может быть любое доступное рабочее пространство в AppSec.Hub.
-
Для данного инструмента доступно два способа авторизации: Anonymous или Token. Выберите способ авторизации и при необходимости укажите токен в соответствующем поле.
Примечание
Параметры токена в инструменте Trivy описаны в документации инструмента.
В инструменте Trivy токен задается при запуске сервиса Trivy. Для успешной интеграции имя заголовка авторизации token-header в инструменте Trivy должно быть задано как Trivy-Token.
-
Информационное поле Management в правом верхнем углу окна Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.
- Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).
Нажмите кнопку Connect, чтобы проверить соединение с Trivy.
AppSec.Hub отправит запрос на соединение с инструментом и в правом нижнем углу пользовательского интерфейса отобразится соответствующее уведомление.
Если соединение произошло успешно, нажмите кнопку Create, чтобы подключить инструмент, в противном случае проверьте правильность заполнения всех полей и внесите необходимые изменения.
Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/Workspaces name).
Особенности интеграции
Данный инструмент используется только для сканирования Docker-артефактов.
Соответствие уровней серьезности уязвимостей в инструментах
Шкала уровней серьезности уязвимостей в Trivy совпадает со шкалой уровней серьезности проблем безопасности в AppSec.Hub, см. табл. ниже.
Уровень серьезности в Trivy | Уровень серьезности в AppSec.Hub |
---|---|
Critical | Critical |
High | High |
Medium | Medium |
Low | Low |
Сопоставление статусов проблем безопасности
Все уязвимости из Trivy импортируются в AppSec.Hub со статусом To verify
. Дальнейшее управление статусами осуществляется в AppSec.Hub.
Подключение Aqua Security
Подключение Aqua Security осуществляется на странице администрирования AppSec.Hub, см. раздел «Подключение инструментов разработки ПО».
Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.
В появившемся окне Create tool выберите элемент sca из выпадающего меню в поле Tool type и элемент aquasec из выпадающего меню в поле Product.
Если выбраны эти два значения, окно Create tool выглядит следующим образом.
В этом окне определите следующие параметры для подключаемого инструмента Aqua Security:
- Имя инструмента задайте в поле Name.
- В поле URL укажите URL для инструмента Aqua Security.
- В поле Workspaces выберите рабочее пространство, которое будет использоваться при работе с Aqua Security. Это может быть любое доступное рабочее пространство в AppSec.Hub.
-
В поле Authentication method выберите Login/Password, для работы с Aqua Security это единственная опция.
Примечание
Для успешной интеграции необходимо, чтобы у пользователя в инструменте Aqua Security была роль администратора, предоставляющая в инструменте права доступа Full Permission.
-
Введите Login и Password учетной записи, которая выделена для доступа в данный инструмент.
- Информационное поле Management в правом верхнем углу окна Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.
- Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).
Нажмите кнопку Connect, чтобы соединиться с Aqua Security.
AppSec.Hub отправит запрос на подключение инструмента Aqua Security. Если соединение было успешным, в правом нижнем углу экрана появится соответствующее уведомление.
Перед подключением к инструменту убедитесь, что селектор в правом верхнем углу окна Create tool находится в положении «включено», и нажмите кнопку Create. В правом нижнем углу экрана появится соответствующее уведомление.
Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/ Workspaces name).
Особенности интеграции
Данный SCA-инструмент используется только для сканирования Docker-артефактов.
Для каждого приложения, у которого хотя бы в одном из пайплайнов присутствует Aqua Security, Appsec.Hub создает в инструменте Aqua Security свой Application Scope с названием app_<application_name> и описанием «Created automatically by hub» в поле Description, что позволяет ограничить доступ к приложению. К Application Scope, созданному в Aqua Security, можно предоставлять доступ для пользователей этого инструмента через использование Roles, привязывание к Roles необходимых Application Scope и назначение созданных Roles для Users в разделе Access Management инструмента Aqua Security. Если пользователи Aqua Security видят только определенный Application Scope, им для начала работы с Application Scope, вновь созданным с помощью Appsec.Hub, необходимо назначить права доступа к этому Application Scope в инструменте Aqua Security.
Для каждого пайплайна в инструменте Aqua Security создается Image Registry. Имя Image Registry состоит из имени приложения в Appsec.Hub и названия пайплайна в Appsec.Hub, которое совпадает с именем артефакта.
Соответствие уровней серьезности уязвимостей в инструментах
Шкала уровней серьезности уязвимостей в инструменте Aqua Security не совпадает со шкалой уровней серьезности проблем безопасности в AppSec.Hub. При импорте проблем безопасности из Aqua Security в AppSec.Hub уровни серьезности мапируются в соответствии с приведенной ниже таблицей.
Уровень серьезности в Aqua Security | Уровень серьезности в AppSec.Hub |
---|---|
Critical | Critical |
High | High |
Medium | Medium |
Low | Low |
Negligible | Low |
Unknown | Low |
No Risk | Уязвимости с данным статусом игнорируются при загрузке в AppSec.Hub |
Сопоставление статусов проблем безопасности
Уязвимость в инструменте Aqua Security может быть или не подтверждена (Acknowledge), или подтверждена (Acknowledged).
В зависимости от статуса в Aqua Security, статус проблемы безопасности в AppSec.Hub определяется в соответствии с приведенной ниже таблицей.
Статус в Aqua Security | Статус в AppSec.Hub |
---|---|
Acknowledge | To verify |
Acknowledged | Accepted risk |
Подключение CodeScoring
Подключение CodeScoring осуществляется на странице администрирования AppSec.Hub, см. раздел «Подключение инструментов разработки ПО». Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.
В раскрывающемся меню поля Tool type открывшегося диалогового окна Create tool выберите пункт sca, а в поле Product — code-scoring.
После выбора этих значений окно Create tool примет следующий вид.
Для подключения укажите в данном окне следующие параметры:
- Задайте имя инструмента в поле Name.
- Укажите URL инструмента CodeScoring.
- В поле Workspaces выберите рабочее пространство (-а), в котором будет использоваться CodeScoring. Это может быть любое доступное рабочее пространство в AppSec.Hub.
-
Для данного инструмента доступен только один способ авторизации — с использованием токена. Введите токен в соответствующее поле.
Примечание
Для интеграции необходимо использовать API token из профиля пользователя User profile в инструменте CodeScoring (см. документацию инструмента).
У пользователя в инструменте CodeScoring должны быть права администратора. Это обеспечит токену необходимые для работы права.
-
Информационное поле Management в правом верхнем углу окна Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.
- Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).
Нажмите кнопку Connect, чтобы проверить соединение с CodeScoring.
AppSec.Hub отправит запрос на соединение с инструментом и в правом нижнем углу пользовательского интерфейса отобразится соответствующее уведомление.
Если соединение произошло успешно, нажмите кнопку Create, чтобы подключить инструмент, в противном случае проверьте правильность заполнения всех полей и внесите необходимые изменения.
Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/Workspaces name).
Особенности интеграции
Данный SCA-инструмент используется для сканирования кодовых баз и Docker-артефактов.
AppSec.Hub не содержит настроек для интеграции с CodeScoring при добавлении инструмента. При этом существуют особенности интеграции, которые следует учитывать при работе с данным инструментом.
Имя проекта в инструменте CodeScoring состоит из двух частей – имени проекта и имени пайплайна в AppSec.Hub.
После проведенного сканирования в AppSec.Hub импортируются только те уязвимости, которые отображаются в разделе Policy alerts как результат срабатывания политик, установленных в инструменте CodeScoring для проекта на момент проведения сканирования.
Соответствие уровней серьезности уязвимостей в инструментах
Уровень серьезности уязвимости в CodeScoring для AppSec.Hub определяется по значению параметра CVSS 3, а если оно не определено, то по параметру CVSS 2. Шкала уровней серьезности уязвимостей в CodeScoring совпадает со шкалой уровней серьезности проблем безопасности в AppSec.Hub, см. таблицу ниже.
Уровень серьезности в CodeScoring | Уровень серьезности в AppSec.Hub |
---|---|
Critical | Critical |
High | High |
Medium | Medium |
Low | Low |
Сопоставление статусов проблем безопасности
При импорте в AppSec.Hub все уязвимости из инструмента CodeScoring получают статус To verify
. Дальнейшее управление статусами уязвимостей можно осуществлять в AppSec.Hub.
Подключение AppSec.Track
Подключение AppSec.Track осуществляется на странице администрирования AppSec.Hub, см. раздел «Подключение инструментов разработки ПО».
Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.
В появившемся окне Create tool выберите элемент sca из выпадающего меню в поле Tool type и элемент appsec-track из выпадающего меню в поле Product.
Если выбраны эти два значения, окно Create tool выглядит следующим образом.
В этом окне определите следующие параметры для подключаемого инструмента AppSec.Track:
- Имя инструмента задайте в поле Name.
- В поле URL укажите URL для инструмента AppSec.Track.
- В поле Workspaces выберите рабочее пространство, которое будет использоваться при работе с AppSec.Track. Это может быть любое доступное рабочее пространство в AppSec.Hub.
- В поле Authentication method выберите Login/password, для работы с AppSec.Track это единственная опция.
- Введите Login и Password учетной записи, которая выделена для доступа в данный инструмент.
- Информационное поле Management в правом верхнем углу окна Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.
- Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).
Нажмите кнопку Connect, чтобы соединиться с AppSec.Track.
AppSec.Hub отправит запрос на подключение инструмента AppSec.Track. Если соединение было успешным, в правом нижнем углу экрана появится соответствующее уведомление.
Перед подключением к инструменту убедитесь, что селектор в правом верхнем углу окна Create tool находится в положении «включено», и нажмите кнопку Create. В правом нижнем углу экрана появится соответствующее уведомление.
Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/ Workspaces name).
Особенности интеграции
Данный SCA-инструмент может быть добавлен в пайплайны для сканирования кодовых баз и артефактов.
В AppSec.Hub из инструмента AppSec.Track импортируются только те уязвимости, которые были получены в результате срабатывания политик, установленных в AppSec.Track.
При добавлении AppSec.Track в пайплайн в окне конфигурации можно указать следующие необязательные параметры:
- Environment — окружение, для которого собирается приложение. Данный параметр вводится вручную и является текстовым полем, например:
stage
. В AppSec.Track значение этого параметра отбражается в поле Окружение на странице отчета о сканировании приложения. - Team — команда, которую можно выбрать из выпадающего списка команд, существующих в AppSec.Track. Если команда не указана, в AppSec.Track будет создана команда, название которой совпадает с названием сканируемого приложения.
Соответствие уровней серьезности уязвимостей в инструментах
Шкала уровней серьезности уязвимостей в инструменте AppSec.Track не совпадает со шкалой уровней серьезности проблем безопасности в AppSec.Hub. При импорте проблем безопасности из AppSec.Track в AppSec.Hub уровни серьезности мапируются в соответствии с приведенной ниже таблицей.
Уровень серьезности в AppSec.Track | Уровень серьезности в AppSec.Hub |
---|---|
Critical | Critical |
High | High |
Medium | Medium |
Low | Low |
Info | Low |
Сопоставление статусов проблем безопасности
При импорте в AppSec.Hub все уязвимости из инструмента AppSec.Track получают статус To verify
. Дальнейшее управление статусами уязвимостей можно осуществлять в AppSec.Hub.