Перейти к содержанию

Дефекты безопасности

Примечание

Для выполнения нижеописанных действий требуется роль Инженер ИБ.

Обычно инструмент AST генерирует десятки или даже сотни проблем безопасности. Не все эти проблемы уникальны и действительно важны для безопасности приложения. Инженеру ИБ необходимо проанализировать все проблемы безопасности и сформировать технический долг по безопасности приложения на основе результатов тестирования. Результатом анализа проблем безопасности является список дефектов безопасности, внесенных в систему отслеживания дефектов проекта.

Уязвимости, обнаруженные инструментами AST во время сканирования, также называются «проблемами безопасности» (Security Issues).

Уязвимости, занесенные в систему отслеживания дефектов (например, Jira), называются «дефектами безопасности» (Security Defects).

Между проблемами и дефектами безопасности есть несколько важных различий:

  • Проблемы безопасности обнаруживаются и документируются с помощью инструментов AST. Статуc дефекта проблеме (-ам) безопасности присваивает Инженер ИБ при занесении в систему отслеживания дефектов.
  • Проблемы безопасности хранятся в инструментах AST и импортируются в AppSec.Hub. Дефекты безопасности создаются в AppSec.Hub и экспортируются в систему отслеживания дефектов (Jira).
  • Дефекты создаются на основе проблем безопасности. Один дефект может включать несколько проблем безопасности. Такое решение должен принять Инженер ИБ на основе проведенного анализа.

Информация о дефектах всех приложений, к которым пользователь имеет доступ, отображается на общей странице дефектов — Defects.

Чтобы начать работу с проблемами безопасности одного приложения, выберите пункт меню Applications.

На странице с приложениями нажмите идентификатор или название выбранного приложения.

Общее количество открытых на данный момент дефектов безопасности (открытые дефекты имеют статус Open, In Progress или Registered, закрытые - Fixed, Rejected или Closed), относящихся к выбранному приложению, отображается рядом с пунктом меню Defects.

Для каждого дефекта отображается следующая информация:

  • DEFECT DETAILS — краткое описание дефекта, включающее в себя:

    • # — идентификатор дефекта в системе и его краткое описание.
    • Status — статус дефекта, показывающий текущий этап жизненного цикла дефекта в AppSec.Hub (Registered, Open, Fixed, In Progress, Closed или Rejected).

      Примечание

      Если статус дефекта не совпадает со статусом включенных в него проблем безопасности, слева от статуса дефекта отображается значок . Такое предупреждение выдается либо для открытых дефектов (со статусом Open, In Progress или Registered), все прилинкованные проблемы которых закрыты и имеют статус Fixed, либо для закрытых дефектов (со статусом Fixed, Rejected или Closed), у которых хотя бы одна из прилинкованных проблем открыта и не имеет статуса Fixed.

    • Severity — серьезность дефекта (Low, Medium, High или Critical). Чем выше степень серьезности, тем более негативное влияние он оказывает на приложение.

    • Author — имя пользователя, создавшего дефект. Фильтр на странице Defects позволяет использовать данный параметр в качестве аргумента фильтрации. Поиск осуществляется как по логину, так и по имени и фамилии пользователя.
    • Created — дата создания дефекта.
    • Updated — дата обновления информации о дефекте.
    • Last sync — дата последней синхронизации дефекта с проектной системой отслеживания дефектов.
    • Tracker sync — ссылка на дефект в проектной системе отслеживания дефектов, соответствующий дефекту в AppSec.Hub. Если это поле отсутствует, этот дефект никогда не синхронизировался с проектной системой отслеживания дефектов. Если оно содержит значение Failed, это значит, что попытки синхронизации были, но ни одна из них не была успешной. Если это поле содержит ссылку на дефект синего цвета, последняя синхронизация прошла успешно. Если это поле содержит ссылку на дефект красного цвета, последняя синхронизация закончилась неудачно.

      Примечание

      Cсылка в поле Tracker sync отображается, только если в результате синхронизации в проектной системе отслеживания дефектов был создан соответствующий дефект. При наведении курсора на ссылку в этом поле высвечивается дата последней синхронизации данного дефекта.

    • Application — приложение, к которому относится дефект.

    • Scan tool — инструмент AST, с помощью которого был обнаружен дефект.
    • Source — источник обнаружения дефекта (Manual, Tool, Public source, External source).
    • Stage — этап, на котором был обнаружен дефект. Может быть выбран из следующего списка: Development, Functional Testing, Integration Testing, User Acceptance Testing или Production. В примере на рисунке выше это стадия разработки (DEV).
    • Structure unit — структурная единица, к которой относится дефект.
    • Release object — релизный объект, к которому относится дефект.
  • PRIORITY — приоритет дефекта (Blocker, Critical, Major, Minor или Info) указывает на важность или срочность исправления этого дефекта.

  • DUE DATE — срок устранения дефекта безопасности. Данное поле облегчает Инженеру ИБ контроль за ходом исправления дефектов. Когда указанная дата будет просрочена, цвет рамки вокруг нее сменится на красный.

Справа от дефекта располагается иконка , с помощью которой можно удалить дефект.

Кроме этого, предусмотрена возможность фильтрации дефектов по следующим параметрам.

  • by application — по приложению;
  • by structure unit — по структурным единицам приложения. Этот фильтр можно поставить после того, как в поле by application было выбрано приложение;
  • by author — по автору дефекта;
  • sort by — сортировка в заданном порядке:
    • Newest first — от новых к старым.
    • Priority: High to Low — по уменьшению приоритета.
    • Priority: Low to High — по возрастанию приоритета.
    • Last updated — от старых к новым.
    • Due date: oldest on top — по сроку устранения дефекта — от менее срочных к более срочным.
    • Due date: newest on top — по сроку устранения дефекта — от более срочных к менее срочным.
  • by priority — по приоритету (All, Info, Minor, Major, Critical или Blocker);
  • by severity — по серьезности дефекта (All, Low, Medium, High или Critical);
  • by status — по статусу (All, Registered, Open, In Progress, Fixed, Rejected или Closed);
  • by sync — по статусу синхронизации (Success, Not started или Failed).

При выборе опции Only overdue defects будут показаны только те дефекты, у которых истек срок устранения.

Создание дефекта безопасности без включения в него проблем безопасности

Инженер ИБ может создать дефект, находясь на общей странице дефектов. Важно отметить, что при создании дефекта на этой странице невозможно связать с ним какие-либо проблемы безопасности, обнаруженные инструментами AST. Порядок создания дефекта со связанными проблемами безопасности приведен в разделе «Создание дефекта безопасности на основе проблем безопасности».

Нажмите кнопку Actions и в выпадающем меню выберите пункт Create defect.

Выберите приложение в окне Create defect и нажмите кнопку Create.

Введите краткое описание дефекта и при необходимости заполните остальные поля.

Нажмите кнопку Save.

Вновь созданный дефект будет добавлен в общий список.

Чтобы синхронизировать созданные дефекты с проектной системой отслеживания дефектов, нажмите кнопку Actions и в выпадающем меню выберите пункт Sync with tracker.

В появившемся окне выберите одно или несколько приложений и нажмите кнопку Start synchronization.

Примечание

Для успешной синхронизации необходимо предварительно выполнить настройки, описанные в разделе «Синхронизация с Jira — настройки».

В результате успешной синхронизации в поле Tracker sync на странице Defects появится ссылка на созданный дефект в проектной системе отслеживания дефектов.

Примечание

Особенность Jira такова, что при синхронизации в описание дефекта можно передать не более 32 767 символов. Чтобы сохранить возможность ознакомления с полным описанием дефекта, в соответствующую задачу Jira передается ссылка на полное описание дефекта в AppSec.Hub. В сообщении об итогах проведенной синхронизации указывается, у каких дефектов было сокращено описание.

Предусмотрена возможность управления максимальной длиной описания дефекта, передаваемого в Jira. Например, чтобы сократить описание дефекта до 300 символов, необходимо в файл app.properties добавить параметр hub.jira.description.length=300. В результате в Jira будет экспортироваться описание дефекта длиной 300 символов и ссылка на его полное описание в AppSec.Hub. Более подробная информация о конфигурационном файле app.properties приведена в Приложении 4.

Создание дефекта безопасности на основе проблем безопасности

Примечание

Если в системе созданы шаблоны описания дефектов, дефекты безопасности на основе проблем безопасности будут создаваться с использованием этих шаблонов.

Создать дефект безопасности на основе нескольких проблем безопасности можно либо на глобальной странице проблем безопасности Issues, либо на странице приложения. Чтобы создать дефект на странице приложения, необходимо предварительно выбрать приложение, а затем нажать пункт меню Issues.

Нажимая значки , выберите из списка проблемы безопасности, которые будут использоваться для создания дефекта. Выбранные проблемы будут отмечены значком . В результате на кнопке Actions справа вверху будет отображаться количество проблем безопасности, связанных с создаваемым дефектом.

Примечание

Дефект можно создать на основе проблем безопасности, имеющих в системе статус To verify, Fixed, False positive, Accepted risk или Confirmed. В результате создания дефекта у всех прикрепленных к дефекту проблем безопасности статус будет изменен на Open.

Примечание

Если будут выбраны проблемы безопасности, относящиеся к разным практикам или приложениям, пункт выпадающего меню Create defect кнопки Actions будет неактивен. Для облегчения выбора соответствующих проблем безопасности используйте фильтрацию.

Нажмите кнопку Actions в правом верхнем углу и в выпадающем меню выберите пункт Create defect, чтобы создать новый дефект безопасности.

Существует альтернативный способ создания дефекта, но только на основе одной проблемы безопасности. Для этого необходимо справа в конце строки выбранной проблемы безопасности в выпадающем меню «» выбрать пункт Create defect.

Кроме того, для создания дефекта на основе одной проблемы безопасности можно выбрать ее из списка проблем либо на глобальной странице проблем безопасности, либо на странице проблем приложения, и нажать на ее идентификатор.

Далее на странице с детальной информацией о проблеме безопасности необходимо нажать на кнопку Actions и выбрать пункт Create defect.

После выбора пункта Create defect на экране появится окно с информацией о создаваемом дефекте. Окно имеет две вкладки: Description и Linked issues. Вкладка Description содержит подробное описание дефекта безопасности, а вкладка Linked issues — перечень связанных с дефектом проблем безопасности с указанием их общего количества.

Немного подробнее остановимся на вкладке Description. На данной вкладке указываются подробные сведения о создаваемом дефекте безопасности (поля, обязательные для заполнения, отмечены звездочкой):

  • Краткое описание дефекта в поле Summary.
  • Информация о всех выбранных уязвимостях, которая переносится в описание дефекта из инструмента AST.

Примечание

Вкладка Description часто содержит различную информацию о дефекте, включая ссылки и т.п. С помощью расположенного справа вверху переключателя Edit mode можно выбрать режим просмотра или редактирования описания дефекта. В режиме редактирования при включенном переключателе Edit mode можно отредактировать текст на вкладке Description, в том числе и при нажатии на ссылку. В режиме просмотра нажатие на ссылку приводит к переходу по ссылке.

Выбранная с помощью переключателя Edit mode настройка запоминается для пользователя и сохраняет состояние при работе с другими дефектами.

В правой части страницы отображаются:

  • Priority — приоритет дефекта (Blocker, Critical, Major, Minor, Info) — указывает на важность или срочность исправления.
  • Severity — серьезность дефекта (Low, Medium, High или Critical) — характеризует степень влияния дефекта на разработку или работу приложения. Чем выше степень серьезности, тем более негативное влияние он оказывает на приложение.
  • Status — статус дефекта показывает текущий этап жизненного цикла дефекта в AppSec.Hub (Registered, Open, Fixed, In Progress, Closed или Rejected). Статусы дефектов в AppSec.Hub должны быть сопоставлены со статусами в проектной системе отслеживания дефектов (например, Jira), см. раздел «Синхронизация с Jira — настройки».
  • Source — источником дефекта может быть один из следующих:
    • Manual — дефект был обнаружен во время ручного тестирования.
    • Tool — дефект был найден инструментом AST.
    • Public source — о дефекте было сообщено в статье в интернете или в любом другом публичном отчете.
    • External source — о дефекте сообщил любой внешний источник в рамках программы Bug Bounty или в рамках любой другой программы лояльности.
  • Tool — инструмент AST, обнаруживший дефект. Данное поле автоматически заполняется для всех дефектов, созданных на основе проблем безопасности, на основе информации об инструменте AST, обнаружившим эти проблемы безопасности. Существует возможность вручную изменить значение в этом поле.
  • Type — тип дефекта (Requirements, Architecture, Software, Configuration, Security). В примере на рисунке выше это дефект программного обеспечения (Software).
  • Detection stage — этап, на котором был обнаружен дефект. Может быть выбран из следующего списка: Development, Functional Testing, Integration Testing, User Acceptance Testing или Production. В примере на рисунке выше это стадия разработки (DEV).
  • Structure unit — структурная единица, к которой относится дефект.
  • Due date — срок устранения дефекта. Можно настроить синхронизацию данного параметра с проектной системой отслеживания дефектов. В зависимости от настроек синхронизация может носить как односторонний, так и двухсторонний характер. Более подробная информация о сопоставлении полей AppSec.Hub и проектной системы отслеживания дефектов приведена в разделе «Синхронизация с Jira — настройки». Кроме этого, фильтр на странице Defects позволяет использовать данный параметр в качестве аргумента фильтрации.
  • Release object — релизный объект, к которому относится дефект.
  • Last sync — дата последней синхронизации дефекта с проектной системой отслеживания дефектов.

Теперь рассмотрим вкладку Linked issues. Как было сказано выше, на данной вкладке отображаются все проблемы безопасности, связанные с созданным дефектом.

Для каждой связанной с соответствующим дефектом проблемы безопасности указывается следующая информация:

  • ID — идентификатор проблемы безопасности в системе.
  • TYPE — тип проблемы безопасности (SAST, DAST, SCA Security и т. д.).
  • SOURCE — источник проблемы безопасности (файл, артефакт, библиотека и т. д.).
  • STATUS — статус проблемы безопасности.
  • LAST SCAN — идентификатор последнего сканирования, на основе которого определен статус проблемы безопасности. При нажатии на ссылку осуществляется переход на страницу с подробной информацией о соответствующем сканировании.
  • SCAN DATE — дата и время сканирования.
  • SCAN OBJECT — объект сканирования. Для кодовых баз и экземпляров приложения данное поле имеет структуру, состоящую из двух частей: <идентификатор кодовой базы/инстанса> и <ветвь кодовой базы/сайт>, в зависимости от объектов сканирования и типов уязвимостей. Для артефактов структура данного поля выглядит следующим образом: <repositoryName> : <group> : <artifact> : <version> (build: <buildVersion>) где:

    • <repositoryName> — имя репозитория, где лежит артефакт, на базе которого создан объект (опциональный параметр, указывается для nexus репозитория, для filestorage артефактов не существует);
    • <group> — имя группы (опциональный параметр, указывается для maven и npm артефактов);
    • <artifact> — имя артефакта в репозитории (не следует путать с именем артефакта в AppSec.Hub);
    • <version> — версия артефакта (опциональный параметр, указывается, если она есть у артефакта, ее может не быть для raw, yum, filestorage артефактов);
    • <buildVersion> — версия билда (опциональный параметр, указывается, если она есть у артефакта).

    Если в ходе работы Security Pipeline произошло тегирование артефакта, то при наведении указателя мыши на значение в этом поле, во всплывающем окне отображаются идентификатор и версия протегированного артефакта.

Введите/отредактируйте сведения о дефекте и нажмите кнопку Save в правом верхнем углу интерфейса пользователя.

Все связанные с дефектом проблемы безопасности будут переведены в статус Open. Также будет создан новый дефект безопасности со статусом Registered. Выберите слева в консоли пункт меню Defects, чтобы увидеть вновь созданный дефект безопасности на странице дефектов приложения.

Нажмите на строку с дефектом безопасности на странице дефектов приложения, чтобы посмотреть детальную информацию о нем. На экране появится окно с двумя вкладками: Description и Linked issues. Для дефектов, которые создаются на основе проблем безопасности, обнаруженных в ходе сканирования, привязанного к релизному объекту, вкладка Description дополнительно содержит поле Release object со ссылкой на соответствующий релизный объект.

Добавление проблем безопасности в дефект безопасности

Предусмотрена возможность добавления в ранее созданный дефект одной или нескольких проблем безопасности. У добавленных в дефект проблем безопасности присвоенный ранее вручную в системе статус, в том числе False positive, Accepted Risk или Confirmed, будет изменен на Open.

Выберите пункт меню Issues.

Чтобы добавить в дефект одну проблему безопасности, выберите в строке этой проблемы в выпадающем меню «» пункт Link to defect.

В появившемся окне в поле Enter defect выберите дефект из списка и нажмите кнопку Add.

Вновь добавленная проблема безопасности появится на вкладке Linked issues дефекта, а на вкладке Status history самой проблемы безопасности появится новая строка, отображающая получение проблемой статуса Open.

Также проблему безопасности можно добавить в дефект на странице с детальной информацией о ней, нажав кнопку Actions и выбрав в раскрывающемся меню пункт Link to defect.

Кроме того, одну или несколько проблем безопасности можно добавить в дефект следующим образом.

На странице Issues, нажимая значки , выберите из списка необходимые проблемы безопасности. Выбранные проблемы будут отмечены значком .

Нажмите кнопку Actions и в раскрывающемся меню выберите пункт Link to defect.

В появившемся окне в поле Enter defect выберите дефект из списка и нажмите кнопку Add.

Вновь добавленные проблемы безопасности появятся на вкладке Linked issues дефекта.

Примечание

При добавлении проблем безопасности существуют следующие ограничения:

  1. Если проблема уже привязана к одному из дефектов, ее нельзя привязать к еще одному дефекту.

  2. Проблему безопасности нельзя привязать к дефекту, если в нем уже есть проблема безопасности другого типа (SAST, SCA Compliance, SCA Security, DAST).

  3. Нельзя одновременно привязать к дефекту несколько проблем безопасности разных типов (SAST, SCA Compliance, SCA Security, DAST).

Удаление дефекта безопасности

Предусмотрена возможность удаления созданного дефекта безопасности.

Выберите пункт меню Defects.

Нажмите идентификатор выбранного дефекта #. На экране появится окно с подробной информацией о нем.

Нажмите кнопку Actions и в раскрывающемся меню выберите пункт Delete.

После подтверждения дефект будет удален.

Примечание

Если дефект синхронизирован с проектной системой отслеживания дефектов, произойдет не его удаление, а изменение статуса на Rejected. Чтобы полностью удалить дефект, необходимо предварительно удалить конфигурацию синхронизации с системой отслеживания дефектов (см. раздел «Удаление конфигурации синхронизации с системой отслеживания дефектов») и, только когда связи с созданными тикетами будут разорваны, дефект можно будет удалить полностью.

Удаление всех проблем безопасности из дефекта безопасности

Предусмотрена возможность удаления из дефекта всех связанных с ним проблем безопасности. Открыв окно дефекта безопасности, нажмите кнопку Actions и в раскрывающемся меню выберите пункт Unlink issues.

После подтверждения все проблемы безопасности будут удалены из дефекта безопасности. При этом все открепленные от дефекта проблемы безопасности получат статус To verify.

Удаление проблем безопасности из дефекта безопасности

Предусмотрена возможность удаления из ранее созданного дефекта одной или нескольких связанных с ним проблем безопасности. Все открепленные от дефекта проблемы безопасности получат статус To verify.

Выберите пункт меню Defects.

Нажмите на идентификатор выбранного дефекта #. На экране появится окно с подробной информацией о нем.

Перейдите на вкладку Linked issues.

Чтобы удалить одну проблему безопасности, выберите в строке выбранной проблемы в выпадающем меню «» пункт Unlink from defect.

Несколько проблем безопасности можно удалить из дефекта следующим образом.

На вкладке Linked issues, нажимая значки , выберите из списка необходимые проблемы безопасности. Выбранные проблемы будут отмечены значком .

Нажмите кнопку Actions и в раскрывающемся меню выберите пункт Unlink selected issues. Выбранные проблемы будут откреплены от дефекта и получат статус To verify.

Существуют альтернативные способы удалить одну проблему безопасности из дефекта безопасности.

На странице Issues в строке проблемы безопасности в выпадающем меню «» выберите пункт Unlink from defect.

После подтверждения проблема безопасности будет удалена из дефекта.

Также проблему безопасности можно открепить от дефекта на странице с детальной информацией о ней, нажав кнопку Actions и выбрав в раскрывающемся меню пункт Unlink from defect.

Синхронизация дефектов безопасности с системой отслеживания дефектов

С использованием пользовательского интерфейса

Предположим, что в AppSec.Hub был создан или обновлен один или несколько дефектов безопасности. Все вновь созданные или обновленные дефекты безопасности необходимо синхронизировать с проектной системой отслеживания дефектов (Jira или YouTrack).

Для корректной синхронизации дефектов между AppSec.Hub и Jira эти два инструмента должны быть согласованы между собой. Подробное описание процесса согласования приведено в разделе «Синхронизация с Jira — настройки».

AppSec.Hub позволяет синхронизировать дефекты как для одного выбранного приложения, так и для всех приложений, к которым пользователь имеет доступ.

Чтобы синхронизировать дефекты для одного приложения, нажмите пункт меню Applications, выберите приложение, перейдите на страницу Defects и нажмите кнопку Show filters cправа вверху.

Дефекты, находящиеся в статусе Registered, в синхронизацию не попадают. В первичную синхронизацию попадают только дефекты, находящиеся в статусе Open, то есть при синхронизации они выгружаются в проектную систему отслеживания дефектов, и в дальнейшем при изменении статуса также участвуют в синхронизации. Если вы хотите предварительно просмотреть список таких дефектов, на вкладке Filters выберите Open в поле by status. На странице будут отображены готовые к синхронизации дефекты безопасности.

Нажмите кнопку Actions в правом верхнем углу и в выпадающем меню выберите пункт Sync with tracker.

Примечание

Пункт меню Sync with tracker будет недоступен для использования в случае, если у приложения отключена синхронизация с проектной системой отслеживания дефектов. Включить или выключить синхронизацию можно с помощью переключателя Integration with tracking, расположенного на вкладке Defect tracking на странице настроек приложения Settings (см. раздел «Настройки отслеживания дефектов приложения»).

После короткого процесса синхронизации в правом нижнем углу экрана появится подтверждающее сообщение.

Примечание

Если информация о дефектах в AppSec.Hub и Jira не претерпела изменений, появится сообщение об успешном завершении синхронизации, но количество синхронизированных дефектов (поле Synchronized) будет нулевым.

Примечание

Если для перевода дефекта в целевой статус в Jira необходим комментарий, то AppSec.Hub его автоматически проставит. Это относится к переводу дефекта в целевой статус In Progress или Rejected как в ручном режиме, так и при автоматической синхронизации.

Пример автоматически добавленного в Jira комментария:

During synchronization with AppSec.Hub, the status was automatically changed to '<target status>' by the user '<username>'
Change Date: <date>

Дефекты безопасности были синхронизированы между AppSec.Hub и Jira. Обновленная информация о дефектах будет отображена на странице Defects.

Чтобы синхронизировать дефекты для нескольких приложений, находясь на главном экране системы AppSec.Hub, выберите в меню пункт Defects. Нажмите кнопку Actions в правом верхнем углу и в выпадающем меню выберите пункт Sync with tracker. На экране появится окно Start synchronization.

Выберите в этом окне приложения, дефекты которых необходимо синхронизировать с проектной системой отслеживания дефектов. Чтобы выбрать все доступные пользователю приложения, нажмите пункт Select all. Отдельные приложения можно выбрать, нажав на выпадающее меню Enter Application Name. Можно воспользоваться поиском нужных приложений, введя имя или часть имени приложения в поле Search.

Список уже выбранных приложений можно скорректировать. Чтобы исключить из списка уже выбранное приложение, достаточно нажать значок справа от его имени. Чтобы очистить весь список, нажмите кнопку Deselect all в левом нижнем углу окна.

Чтобы начать процесс синхронизации, нажмите кнопку Start synchronization в правом нижнем углу окна. На экране появится окно The synchronization process started. В этом окне содержится информация о том, для каких дефектов был начат процесс синхронизации, а для каких он не стартовал по каким-либо причинам с указанием ID приложения, его имени и описанием ошибки. Нажмите кнопку Ok внизу окна.

После завершения синхронизации в поле Tracker sync отображаются ссылки на соответствующие дефекты в проектной системе отслеживания дефектов.

Если ссылка синего цвета, синхронизация прошла успешно.

Ссылка красного цвета указывает на наличие ошибок синхронизации. Наведя указатель мыши на ссылку, можно увидеть дату успешной синхронизации или причину неуспешной синхронизации.

Примечание

Синхронизация дефектов, у которых схема мапирования между AppSec.Hub и проектной системой отслеживания дефектов не позволяет одновременно корректно изменять статусы дефектов в обеих системах (см. раздел «Синхронизация с Jira - настройки»), например, из-за особенностей жизненного цикла дефекта в проектной системе отслеживания дефектов, заканчивается ошибкой синхронизации. У таких дефектов после завершения синхронизации в поле Tracker sync отображается описание причины ошибки синхронизации, например, «Failed to convert hub task to Jira issue. Jira transition from current issue status To Do to Done not found. Make sure the App trackers status and field mapping are correct». Эта информация отображается при первой неуспешной синхронизации и позволяет решить возникшую проблему синхронизации либо путем изменения настроек в системе отслеживания дефектов, либо путем изменения мапирования в AppSec.Hub. При последующих синхронизациях у дефектов с проблемой в схеме мапирования информация в поле Tracker sync не отображается и перестает быть доступной для пользователя.

Аналогичная ссылка появляется и в нижней части правой колонки на странице с подробной информацией о дефекте.

Чтобы обнаружить несинхронизированные дефекты или те, при синхронизации которых возникли ошибки, можно воспользоваться фильтром. Нажмите кнопку Show filter, расположенную в верхнем правом углу интерфейса, и в поле by sync выберите соответственно значение Not started или Failed.

Чтобы получить информацию о результатах последней синхронизации дефектов приложения, нажмите на значок , расположенный рядом с полем Last synchronized в нижнем левом углу.

Примечание

Значок рядом с полем Last synchronized отображается только в случае, если уже была произведена хотя бы одна синхронизация дефектов.

Появившееся окно будет зеленого или красного цвета в зависимости от результатов последней синхронизации.

Автоматическая синхронизация

Примечание

Описанные ниже настройки выполняются Администратором.

В системе предусмотрена возможность автоматизации процесса синхронизации дефектов между AppSec.Hub и проектной системой отслеживания дефектов, например Jira. Автоматическая синхронизация полностью происходит в фоновом режиме, а для ее запуска используется планировщик задач.

Включение и настройка автоматической синхронизации дефектов осуществляется посредством редактирования конфигурационного файла app.properties, расположенного в директории /opt/apphub/config/hub-core/ (если выбрана рекомендуемая директория установки AppSec.Hub). Детали приведены в разделе «Автоматическая синхронизация дефектов безопасности».

Ручная верификация дефектов безопасности

Каждый дефект безопасности должен быть исправлен командой разработчиков приложения. Когда дефект исправлен, разработчики меняют статус дефекта безопасности Jira на Fixed. Теперь дефект необходимо синхронизировать между Jira и AppSec.Hub.

Как было описано в предыдущем разделе, выберите приложение и нажмите пункт меню Defects. На экране появится страница дефектов приложения. Нажмите кнопку Actions в правом верхнем углу и в выпадающем меню выберите пункт Sync with tracker.

Подождите, пока процесс синхронизации будет успешно завершен. Теперь статус дефекта безопасности в AppSec.Hub должен получить значение Fixed, как и в Jira.

Для верификации этого дефекта безопасности Инженер ИБ должен запустить сканирование безопасности и проверить, действительно ли дефект безопасности был устранен (т. е. в последнем отчете по безопасности от инструмента AST больше нет соответствующей проблемы или группы проблем безопасности), и перевести этот дефект в статус Closed в AppSec.Hub. После синхронизации дефектов между AppSec.Hub и Jira соответствующий дефект безопасности также получит статус Closed также и в Jira.

К началу