Настройки приложения
Каждое приложение необходимо настроить и сконфигурировать до того, как члены команды начнут работать с ним в системе.
Чтобы начать процесс настройки, нажмите на название приложения и перейдите на его страницу.
Вкратце, этот процесс включает определение и настройку параметров через пункты меню, расположенные слева.
-
Application summary — информация о приложении. На данной странице отображается текущий статус приложения с точки зрения метрик сканирования, проблем и дефектов безопасности, см. рис. выше. На графике Issues отображается информация только по проблемам безопасности, имеющим статус Open, Confirmed и To verify. На графике Defects отображается информация только по дефектам безопасности, имеющим статус Open и In progress. Также на экран выведены размер кодовой базы приложения в SLOC, сводка по проблемам безопасности, сводка по дефектам безопасности и сводка по SSDL. Все эти данные извлекаются из хранилища данных (data warehouse).
-
Development — этот пункт меню содержит пять вкладок (см. раздел «Объекты сканирования»).
-
Пункт меню Pipelines предназначен для работы с Security Pipelines (описание приведено в разделе «Security Pipelines»).
-
Пункты меню Issues и Defects предназначены для работы с проблемами и дефектами приложения (см. разделы «Работа с проблемами и дефектами безопасности», «Проблемы безопасности» и «Дефекты безопасности»).
-
Rules — информация обо всех созданных для приложения правилах обработки проблем безопасности, см. раздел «Правила обработки проблем безопасности».
-
Пункт меню Release objects предназначен для работы с релизными объектами (описание приведено в разделе «Релизные объекты»).
-
Пункт SSDL — информация, относящаяся к жизненному циклу разработки приложения.
-
Пункт Task log — позволяет просмотреть журнал задач с записями о различных типах событий для данного приложения (см. раздел «Журнал задач»).
-
Пункт Settings — настройки приложения. Шаги настройки приложения через пункт меню Settings подробно описаны ниже.
Выберите пункт меню Settings, чтобы изменить информацию о приложении и настроить его параметры. На экране откроется страница настроек приложения с семью вкладками.
Вкладка General позволяет настроить следующие параметры приложения:
- Application name — название приложения.
- Code — внутренний код приложения во внешних пользовательских системах (генерируется автоматически).
- External ID — внешний идентификатор приложения. Передается внешним инструментом.
- Description — краткое описание приложения.
- Access groups — команда пользователей, имеющих права на управление данным приложением.
- DevSecOps pipelines — если этот переключатель выключен, security pipelines для этого приложения не могут быть запущены.
- Integrity check — если этот переключатель включен, только кодовые базы, добавленные в AppSec.Hub, могут быть просканированы через вызов REST API.
-
Issue state policy — настройка алгоритма изменения состояний проблем безопасности при импорте отчетов. Может быть выбран один следующих вариантов:
- Compare with the 1st scan — определять состояние импортируемых проблем безопасности в сравнении с результатами первого сканирования.
- Compare with previous scan — определять состояние импортируемых проблем безопасности в сравнении с результатами предыдущего сканирования.
Примечание
Настройка Issue state policy также определяется для каждого пайплайна (см. детали в разделе «Настройки Security Pipeline»). Настройка на уровне пайплайна имеет приоритет по сравнению с настройкой на уровне приложения.
-
Structure unit type — в этом поле можно выбрать тип структурной единицы приложения.
- Workspace — рабочее пространство, в котором находится приложение.
Сопоставление приложения с командой
Информация о командах с разрешением на управление приложением доступна в разделе Access groups на вкладке General на странице Settings.
Нажмите кнопку Add group справа и выберите команду из выпадающего меню, чтобы добавить команду в список команд, работающих с приложением. Чтобы удалить команду из этого списка, нажмите на значок справа от ее названия.
Cтатус приложения (supported/not supported)
Все приложения в AppSec.Hub имеют статус либо «Supported», либо «Not supported».
Выберите приложение на странице Applications и нажмите пункт меню Settings. Статус приложения (Supported/Not supported) определяется с помощью селектора DevSecOps pipelines на вкладке General.
Если селектор выключен, приложение имеет статус «Not supported», a Security Pipelines для этого приложения не могут быть запущены. Переведите селектор в положение «включено». Теперь приложение имеет статус «Supported», а Security Pipelines для этого приложения могут быть запущены.
Сопоставление приложения с рабочим пространством
Каждое приложение в AppSec.Hub сопоставляется с рабочим пространством. Более подробная информация о рабочих пространствах приведена в разделе «Организация рабочих пространств» Руководства администратора. В AppSec.Hub всегда существует предустановленное рабочее пространство Default workspace. До момента создания других рабочих пространств в системе все приложения могут быть сопоставлены только с этим рабочим пространством. По умолчанию, в процессе создания в окне Create application приложение сопоставляется с рабочим пространством Default workspace. При создании приложения существует возможность сопоставить его с другим ранее созданным рабочим пространством при условии, что создающий приложение пользователь имеет к нему доступ.
В AppSec.Hub всегда существует предустановленная команда Default team. До момента создания других команд в системе все пользователи входят только в эту команду. Если пользователь с правами Менеджера может работать только с командой Default team, рабочее пространство может быть изменено только на те рабочие пространства, доступ к которым имеют пользователи из Default team.
После создания в системе других команд пользователем с правами Администратора, пользователь с правами Менеджера может быть добавлен в них Администратором. В этом случае возможности доступа Менеджера к рабочим пространствам будут расширены, и он сможет выбрать рабочее пространство из всех тех, что доступны для пользователей всех команд, членом которых он является.
Можно сопоставить приложение с другим рабочим пространством, используя выпадающее меню Workspace на вкладке General.
Просто выберите другое рабочее пространство из списка доступных.
Информация о технологиях приложения
Выбрав приложение на странице Applications, нажмите пункт меню Settings и перейдите на вкладку Technology.
Информация, размещенная на этой вкладке, не является обязательной для заполнения. Она описывает используемые приложением технологии и не влияет на поведение приложения в AppSec.Hub.
Сопоставление приложения с организационной структурой
Выберите вкладку Team на странице настроек приложения Settings.
Текущее положение приложения в организационной структуре компании показано в разделе Org structure.
Обновите привязку приложения к организационной структуре, нажав кнопку Change справа. На экране появится окно Assign application to another unit.
Выберите новое подразделение из списка, нажмите на кнопку Assign to selected unit и подтвердите изменение в появившемся окне.
В разделе Org structure теперь отображаются обновленные данные.
Вкладка Team позволяет задать информацию о размере и уровне зрелости команды в полях Team size и Team Maturity. Эта информация не является обязательной, а эти поля можно оставить пустыми.
Quality Gate приложения
Примечание
Для выполнения нижеописанных действий требуется роль Менеджера приложения.
Выберите вкладку Quality Gate на странице настроек приложения Settings.
Данная вкладка позволяет настроить Quality Gate для выбранного приложения.
В случае, если опция Inherit quality gate отключена, Quality Gate можно выбрать из выпадающего списка. Удалить такой Quality Gate можно при помощи кнопки Remove QG.
В случае, если опция Inherit quality gate включена, наследуется Quality Gate, установленный для объекта более высокого уровня в иерархии Quality Gates (компании или подразделения в организационной структуре, к которому относится данное приложение).
Профиль рисков приложения
Выберите вкладку Risk profile на странице настроек приложения Settings.
В верхней части этой вкладки отображается сводка рисков приложения.
Нижняя часть вкладки представляет собой вопросник по сбору информации о рисках приложения и позволяет вводить информацию о приложении, используя ряд полей с выпадающими меню. На основе этой информации в верхней части вкладки рассчитываются и отображаются риски информационной безопасности приложения в режиме реального времени.
Уведомления приложения
Выберите вкладку Notifications на странице настроек приложения Settings. Она позволяет настроить отправку уведомлений о различных событиях для данного приложения. Отправка уведомлений осуществляется по электронной почте. При нотификациях производится запись в аудит лог при всех типах событий, представленных в этом пункте меню, а также при тестовом подключении к почтовому серверу и при регистрации нового пользователя (см. «Приложение. Список событий аудита» Руководства администратора ИБ).
Примечание
Важно заметить, что настройка уведомлений возможна как для каждого отдельного приложения, так и в профиле пользователя. Таким образом, если определенный тип уведомлений, например Defect reopened, включен в настройках приложения (см. рис. ниже), но отключен в профиле пользователя (см. раздел «Настройка профиля пользователя»), соответствующие уведомления данному пользователю отправляться не будут.
Настройки отслеживания дефектов приложения
Выберите вкладку Defect tracking на странице настроек приложения Settings.
Здесь расположен переключатель Integration with tracking, который позволяет включить или выключить синхронизацию с выбранной системой отслеживания дефектов.
Эта вкладка в целом предназначена для настройки отслеживания дефектов приложения. Описание работы с ней приведено в разделе «Синхронизация с Jira — настройки».
Журнал задач
Пункт меню Task log позволяет просмотреть журнал задач с записями о различных типах событий для данного приложения.
Страница содержит четыре вкладки:
-
Imports — задачи, связанные с импортом Security Issues из других инструментов. Отображаются следующие данные:
- ID — идентификационный номер.
- STATUS — статус.
- DURATION — продолжительность.
-
WARNINGS — предупреждения. При наличии предупреждений в данном столбце отображается значок (см. рис. выше), нажав который можно ознакомиться с перечнем предупреждений.
-
SCAN ID — идентификационный номер сканирования, запустившего эту задачу. При нажатии на эту ссылку происходит переход на страницу с детальной информацией об этом сканировании.
- PIPELINE — ссылка на Security Pipeline, в рамках которого выполнялось сканирование.
- STARTED BY — имя пользователя, инициировавшего процесс импорта Security Issues. Если импорт был запущен автоматический, например после завершения сканирования, в данном поле отображается значение «auto».
-
Onboarding — задачи, связанные с выполнением скриптов AppSecHub CLI, см. «Приложение 5. Параметры скриптов AppSec.Hub CLI» и «Приложение 6. Примеры запуска скриптов AppSec.Hub CLI».
-
Scans — задачи, связанные со сканированием Security Pipelines.
-
Tracker syncs — задачи, связанные с синхронизацией с системой отслеживания ошибок.