Onboarding
В AppSec.Hub реализован механизм, позволяющий автоматизировать и, соответственно, значительно упростить и ускорить процесс создания security pipelines, приложений и относящиеся к приложениям сущностей — кодовых баз, артефактов, экземпляров приложений. В ходе работы данного механизма происходит поиск и добавление в AppSec.Hub информации о приложениях, кодовых базах, артефактах, экземплярах приложений, релизных объектах и т. д., формируются соответствующие security pipelines, в случае необходимости производится тегирование выбранных объектов, также при необходимости инициируется обмен данными, например результатами сканирования, с другими инструментами. Все эти операции выполняются автоматически. Для данного процесса в AppSec.Hub используется термин onboarding. Реализация процессов onboarding основана на применении определенных внутренних алгоритмов AppSec.Hub. Например, в ходе обработки очередного запроса система выполняет поиск требуемого приложения по его коду. Если приложение не было найдено в системе, то AppSec.Hub создает это приложение. Также по запросу могут быть созданы и относящиеся к приложению сущности. Например, если в запросе были указаны:
- Атрибуты кодовой базы, то AppSec.Hub выполняет поиск, создание в случае необходимости и подключение кодовой базы к приложению.
- Атрибуты артефакта, то AppSec.Hub выполняет поиск, создание в случае необходимости и подключение артефакта к приложению.
- Атрибуты экземпляра развернутого приложения, то AppSec.Hub выполняет поиск, создание в случае необходимости и подключение этого экземпляра к приложению.
Механизм onboarding применяется в том числе и при импорте результатов.
AppSec.Hub позволяет использовать уже существующие в системе security pipelines в качестве шаблона для создания новых пайплайнов (см. раздел «Настройки Security Pipeline»). Применение шаблонов осуществляется следующим образом. AppSec.Hub выполняет поиск подходящего шаблона по алгоритму, использующему в качестве параметров идентификатор приложения, атрибуты кодовой базы, артефакта или экземпляра приложения, рабочее пространство, конфигурацию сканирования, используемые Quality Gates и тегируемый артефакт (если применимо). Если подходящий шаблон найден, система создает security pipeline по выбранному шаблону. Если подходящий шаблон не найден, то система создает его, а затем создает необходимый security pipeline по вновь созданному шаблону. Таким образом, onboarding — это быстрый и эффективный способ для поиска, создания и подключения к системе приложений, кодовых баз, артефактов, экземпляров приложений. Он может быть реализован как часть процессов сканирования или импорта результатов. Onboarding позволяет радикально сократить объем выполняемых «вручную» рутинных операций, связанных с интеграцией в систему новых команд и их приложений, увеличить скорость получения результатов проверок информационной безопасности и повысить эффективность рабочих процессов.