Перейти к содержанию

Объекты сканирования

Примечание

Для выполнения нижеописанных действий требуется роль Менеджер.

Выберите пункт меню Applications и, нажав на строку, откройте страницу соответствующего приложения.

Выберите пункт меню Development, чтобы просмотреть и настроить следующие элементы:

  • Codebases — кодовые базы (исходный код).
  • Artifacts — артефакты.
  • Instances — экземпляры приложений (тестовые стенды).
  • Structure units — структурные модули.
  • Proxy — прокси-репозитории.

Чтобы отфильтровать объекты сканирования по типу, нажмите кнопку Show filters в правом верхнем углу страницы и в поле Scan Objects Type выберите необходимое поле (поля).

Кроме того, с помощью поля by structure unit можно поставить дополнительный фильтр на структурные единицы приложения.

Кодовые базы

Приложение не ограничено одной кодовой базой, а может включать несколько. Например, одно приложение может иметь разный код и разные кодовые базы для целей разработки и выпуска (<application-dev> и <application-release>) с разными метриками исходного кода, разными метриками дефектов и т. д.

Выберите пункт меню Development, нажмите кнопку Show filters в правом верхнем углу страницы и в поле Scan Objects Type выберите поле Codebase.

Каждая кодовая база представлена на экране отдельной строкой, которая содержит ее описание в следующих полях:

  • # — идентификатор кодовой базы в системе и ее имя.
  • Type — тип объекта сканирования, в данном случае — Codebase.
  • Repository — ссылка на репозиторий (на код кодовой базы).
  • VCS — репозиторий кодовой базы, указанный как параметр при ее создании или при последнем обновлении ее параметров.
  • Build tool — инструмент сборки, используемый для работы с репозиторием кода, указанный как параметр при ее создании или при последнем обновлении ее параметров.
  • Pipeline — ссылка на security pipeline, в который входит данная кодовая база, в случае, если такой security pipeline уже существует в системе.
  • Structure Unit — структурная единица приложения, к которой относится данная кодовая база (если применимо).

Используя расположенное справа в конце строки кодовой базы выпадающее меню «», можно:

  • Изменить параметры кодовой базы с помощью пункта меню Edit codebase.
  • Перейти на страницу Security Pipeline, в который входит данная кодовая база, с помощью пункта меню Open pipeline details.
  • Отнести кодовую базу к структурной единице приложения с помощью пункта меню Edit link to structure unit. На экране появится окно Edit codebase link with structure unit. Выберите структурную единицу из выпадающего меню в поле by structure unit и нажмите кнопку Save. Чтобы удалить кодовую базу из структурной единицы, в том же окне выберите название структурной единицы в списке, расположенном ниже поля by structure unit, и нажмите на значок справа от него. Нажмите кнопку Save, чтобы сохранить изменения.

  • Удалить кодовую базу с помощью пункта меню Delete.

Примечание

При удалении кодовой базы на странице Development она также удаляется из security pipeline, где она используется.

Создание/конфигурирование кодовой базы

Для создания новой кодовой базы выберите пункт меню Development, нажмите кнопку +Add new в правом верхнем углу и выберите пункт выпадающего меню Add new Codebase. На экране появится окно Create codebase.

Укажите следующие параметры кодовой базы:

  • Выберите репозиторий из выпадающего меню Select Repository.
  • Введите абсолютный URL кодовой базы в поле Enter absolute codebase URL.

    После ввода указанных параметров произойдет автоматическое распознавание кодовой базы. При необходимости на вкладке Edit manually внесите изменения в появившиеся дополнительные поля.

    • Codebase name — имя кодовой базы в системе.
    • Codebase checkout URL — URL для проверки кодовой базы, он содержит точный URL-адрес репозитория кода для приложения. Рекомендуется скопировать и вставить этот URL из инструмента репозитория.
    • Build tool определяет инструмент сборки, используемый для работы с репозиторием кода (в данном примере — Maven).

Примечание

Задать фильтр ветвей кодовой базы с помощью поля Branch filter можно на уровне работы с пайплайнами исходного кода, а не на уровне работы с кодовыми базами (см. раздел «Security pipeline исходного кода»). Это позволяет на основе одной кодовой базы создать несколько пайплайнов.

Нажмите на кнопку Create, чтобы создать новую кодовую базу в AppSec.Hub.

На экране появится строка вновь созданной кодовой базы и подтверждающее уведомление.

Для конфигурации существующей кодовой базы нажмите в строке ее идентификатор #. Также можно использовать расположенное справа в конце строки кодовой базы выпадающее меню «». В нем надо выбрать пункт Edit codebase.

На экране появится окно Update codebase.

Измените параметры кодовой базы, как описано выше, и нажмите кнопку Update.

Артефакты

Артефакт либо создается, либо используется командой, работающей над разработкой приложения. Например, артефакты, создаваемые инструментом Maven для разработки приложения, включают: JAR (Java ARchive) — Java-архивы, исходные и двоичные дистрибутивы, WAR-файлы (Web ARchive, или Web Application Resource) и т. д. Каждый maven-артефакт имеет идентификатор группы (group id), идентификатор артефакта (artifact id), версию, расширение и классификатор (расширение + классификатор могут быть назван по типу артефакта).

Примечание

Поддерживаются следующие типы артефактов: Maven artifact, NuGet package, Docker container, Node package (NPM), Raw file, yum/rpm package, Pypi package.

Выберите пункт меню Development, нажмите кнопку Show filters в правом верхнем углу страницы и в поле Scan Objects Type выберите поле Artifact.

Каждый артефакт представлен на экране отдельной строкой, которая содержит его описание в следующих полях:

  • # — идентификатор артефакта в системе и его имя.
  • Type — тип объекта сканирования, в данном случае — Artifact.
  • Artifact type — тип артефакта (Maven artifact, NuGet package, Docker container, Node package (NPM), Raw file, yum/rpm package, Pypi package).
  • Repository — ссылка на репозиторий (на инструмент).
  • Pipeline — ссылка на security pipeline, в который входит данный артефакт, в случае, если такой security pipeline уже существует в системе.
  • Structure Unit — структурная единица приложения, к которой относится данный артефакт (если применимо).

Используя расположенное справа в конце строки артефакта выпадающее меню «», можно:

  • Изменить параметры артефакта с помощью пункта меню Edit artifact.
  • Перейти на страницу Security Pipeline, в который входит данный артефакт, с помощью пункта меню Open pipeline details.
  • Отнести артефакт к структурной единице приложения с помощью пункта меню Edit link to structure unit. На экране появится окно Edit artifact link with structure unit. Выберите структурную единицу из выпадающего меню в поле by structure unit и нажмите кнопку Save. Чтобы удалить артефакт из структурной единицы, в том же окне выберите название структурной единицы в списке, расположенном ниже поля by structure unit, и нажмите на значок справа от него. Нажмите кнопку Save, чтобы сохранить изменения.
  • Удалить артефакт с помощью пункта меню Delete.

Примечание

При удалении артефакта на странице Development он также удаляется из Security Pipeline, где он используется.

Создание/конфигурирование артефакта

Для создания нового артефакта выберите пункт меню Development, а затем нажмите кнопку +Add new в правом верхнем углу и выберите пункт выпадающего меню Add new Artifact, или нажмите на идентификатор # существующего артефакта, чтобы проверить и/или сконфигурировать параметры артефакта.

На экране появится окно Update artifact.

Для различных типов артефактов в этом окне указываются различные параметры. В качестве примера рассмотрим контейнер Docker.

  • Выберите репозиторий из выпадающего меню Repository.
  • В выпадающем меню Artifact type выберите тип артефакта. Поддерживаются следующие типы артефактов: Maven artifact, NuGet package, Docker container, Node package (NPM), Raw file, yum/rpm package, Pypi package. В нашем примере Docker container.
  • Укажите имя артефакта в поле Artifact name.
  • При необходимости измените значения в остальных полях (Base URL, Port, Docker artifact, Repository name).

Нажмите кнопку Update, чтобы сохранить изменения.

Экземпляры приложения

Каждое приложение может иметь несколько экземпляров, например, один экземпляр используется в качестве тестового стенда, второй — для приемо-сдаточных испытаний, а третий — для развертывания в рабочей промышленной среде (production).

Выберите пункт меню Development слева, нажмите кнопку Show filters в правом верхнем углу страницы и в поле Scan Objects Type выберите поле Instance.

Каждый экземпляр приложения представлен на экране отдельной строкой, которая содержит его описание в следующих полях:

  • # — идентификатор экземпляра приложения в системе и его имя.
  • Type — тип объекта сканирования, в данном случае — Instance.
  • Stage — окружение развертывания экземпляра приложения (System test, Integration Acceptance Test, User Acceptance Test, Stage, Production).
  • Link — ссылка на экземпляр приложения.
  • Pipeline — ссылка на security pipeline, в который входит данный экземпляр приложения, в случае, если такой security pipeline уже существует в системе.
  • Structure Unit — структурная единица приложения, к которой относится данный экземпляр приложения (если применимо).

Используя расположенное справа в конце строки экземпляра приложения выпадающее меню «», можно:

  • Изменить параметры экземпляра приложения с помощью пункта меню Edit instance.
  • Перейти на страницу Security Pipeline, в который входит данный экземпляр приложения, с помощью пункта меню Open pipeline details.
  • Отнести экземпляр приложения к структурной единице приложения с помощью пункта меню Edit link to structure unit. На экране появится окно Edit instance link with structure unit. Выберите структурную единицу из выпадающего меню в поле by structure unit и нажмите кнопку Save. Чтобы удалить экземпляр приложения из структурной единицы, в том же окне выберите название структурной единицы в списке, расположенном ниже поля by structure unit, и нажмите на значок справа от него. Нажмите кнопку Save, чтобы сохранить изменения.
  • Удалить экземпляр приложения с помощью пункта меню Delete.

Примечание

При удалении экземпляра приложения на странице Development он также удаляется из Security Pipeline, где он используется.

Создание/конфигурирование экземпляра приложения

Для создания нового экземпляра приложения выберите пункт меню Development, а затем нажмите кнопку +Add new в правом верхнем углу и выберите пункт выпадающего меню Add new Instance, или нажмите на идентификатор # существующего экземпляра приложения, чтобы проверить и/или настроить параметры этого экземпляра.

На экране появится окно Update instance.

Укажите в этом окне следующие параметры экземпляра приложения:

  • Instance name — имя экземпляра приложения.
  • URL — адрес экземпляра приложения.
  • Выберите этап из выпадающего меню Stage (System test, Integration Acceptance Test, User Acceptance Test, Stage, Production).
  • В разделе Credentials определяется список пользователей и их пароли для доступа к экземпляру приложения. Используйте кнопку Add справа, чтобы добавить нового пользователя. Нажмите иконку рядом с учетными данными, чтобы пароли пользователей отображались на экране. Нажмите эту иконку еще раз, чтобы снова скрыть пароли.

Нажмите кнопку Update, чтобы сохранить изменения.

Структурные единицы

На странице приложения выберите пункт меню Settings и перейдите на вкладку General. Текущий тип структурной единицы структуры приложения отображается в разделе Structure unit type.

Тип структурной единицы структуры приложения может быть выбран из выпадающего меню (None, Module, Component или Microservice).

Возможность определения типа структурной единицы позволяет настроить работу с приложением в AppSec.Hub под структуру приложения (модули, компоненты или микросервисы). Например, если приложение имеет микросервисную архитектуру, целесообразно выбрать Microservice в разделе Structure unit type на вкладке General.

Если тип структурной единицы структуры приложения определен как микросервис, структурные единицы соответствующего типа могут быть созданы с помощью кнопки +Add new страницы разработки приложения Development.

Каждая из этих структурных единиц имеет свои собственные кодовые базы, артефакты, экземпляры и дефекты. Каждая строка структурной единицы отображает их количество, относящееся к этой структурной единице.

Нажмите на значок , расположенный справа от идентификатора # структурной единицы, чтобы просмотреть информацию о ней.

Используя расположенное справа в конце строки структурной единицы выпадающее меню «», можно:

  • Изменить параметры структурной единицы с помощью пункта меню Update structure unit.
  • Просмотреть информацию о структурной единице и отредактировать ее в отдельном окне с помощью пункта меню Edit linked objects.

    В появившемся окне на вкладках Codebase, Artifacts или Instances можно отнести кодовые базы, артефакты или экземпляры приложения к структурной единице приложения, выбрав их из выпадающего списка в полях Choose codebases/Choose artifacts/Choose instances соответственно. Также можно удалить кодовую базу / артефакт / экземпляр приложения из структурной единицы, нажав на значок справа от названия данного объекта. Нажмите кнопку Save, чтобы сохранить изменения.

  • Удалить структурную единицу с помощью пункта меню Delete.

Используйте пункт меню Edit link to structure unit расположенного справа в конце строки кодовой базы, артефакта или экземпляра приложения выпадающего меню «», чтобы отнести этот элемент к структурной единице. На экране появится соответствующее окно Edit link with structure unit. Выберите структурную единицу из выпадающего меню и нажмите кнопку Save. Чтобы удалить элемент из структурной единицы, нажмите на кнопку справа от ее названия.

Создание/конфигурирование структурной единицы

Для создания новой структурной единицы выберите пункт меню Development, а затем нажмите кнопку +Add new в правом верхнем углу и выберите пункт выпадающего меню Add new Structure unit. На экране появится окно Create structure unit.

Введите имя структурной единицы в поле Structure Unit name, код структурной единицы в поле Structure Unit code, описание структурной единицы в поле Description и нажмите кнопку Create. Поле Structure Unit code является опциональным. Если оно не заполнено, код генерируется автоматически на основании имени структурной единицы. В случае, если при создании структурной единицы указанный код уже существует в системе, будет выдано соответствующее предупреждение и автоматически сгенерирован свой уникальный код. После создания код не может быть изменен.

Нажмите на идентификатор # структурной единицы, чтобы обновить ее параметры. На экране появится окно Update structure unit.

Введите имя и описание структурной единицы и нажмите кнопку Update.

Удаление структурной единицы

Для удаления структурной единицы справа в конце строки выбранной структурной единицы в выпадающем меню «» выберите пункт Delete. При этом будут удалены все ранее сделанные в системе привязки кодовых баз, артефактов, экземпляров приложений и дефектов к этой структурной единице.

Прокси-репозитории

В AppSec.Hub реализована возможность использования прокси-репозиториев.

Выберите приложение на странице Applications.

Выбрав слева пункт меню Development, нажмите кнопку Show filters в правом верхнем углу страницы и в поле Scan Objects Type выберите поле Proxy. На странице отображаются прокси-репозитории.

Каждый прокси-репозиторий представлен на экране отдельной строкой, которая содержит его описание в следующих полях:

  • # — идентификатор прокси-репозитория в системе и его имя.
  • Type — тип объекта сканирования, в данном случае — Proxy.
  • Link — ссылка на прокси-репозиторий.

Используя расположенное справа в конце строки прокси-репозитория выпадающее меню «», можно:

  • Изменить параметры прокси-репозитория с помощью пункта меню Edit proxy.
  • Удалить прокси-репозиторий с помощью пункта меню Delete.

Примечание

Удаленный прокси-репозиторий больше не отображается в разделе Development и не включен в контур контроля разработки программного обеспечения.

Создание прокси-репозитория

Чтобы создать новый прокси-репозиторий, нажмите кнопку +Add new в правом верхнем углу и выберите пункт выпадающего меню Add new Proxy.

Появится диалоговое окно Create repository proxy. В поле Repository Manager выберите менеджер репозиториев, а в поле Repository proxy — необходимый репозиторий. После заполнения обоих полей, нажмите кнопку Save, чтобы создать прокси-репозиторий, или Cancel, чтобы отменить.

Вновь созданный прокси-репозиторий появляется на вкладке Proxy, а в правом нижнем углу экрана отображается соответствующее подтверждающее сообщение.

Созданный прокси-репозиторий автоматически добавляется в контур контроля разработки программного обеспечения, если на стороне Repository Manager включена функция контроля загружаемых компонент.

Например

В Nexus Repository Manager настроена интеграция с Nexus IQ, и для прокси-репозитория npm-proxy добавлена IQ: Audit and Quarantine capability. Это указывает, что практика контроля периметра уже применяется для данного прокси-репозитория, поэтому на странице Pipelines для репозитория npm-proxy отображается запись о включенном контроле периметра.

К началу