Обработка уязвимостей приложения
Примечание
Для выполнения нижеописанных действий требуется роль Администратора.
Нажмите на иконку Administration 
в правом верхнем углу для перехода на страницу администрирования.
Выберите пункт Issue processing в меню слева.
Страница Issue processing содержит две вкладки: AI Provider и Correlation, позволяющие выбрать инструмент и задать настройки обработки уязвимостей приложения.
AI провайдер
На вкладке AI Provider в поле AI Provider можно выбрать из выпадающего списка один из двух инструментов для обработки уязвимостей - проведения анализа корреляции уязвимостей приложения и получения предсказаний:
- Встроенный в систему инструмент CoPilot mini, не требующий лицензии и доступный без ограничений. CoPilot mini ранее входил в систему как сервис AVC и полностью сохранил его функциональность.
- AppSec.CoPilot - облачное SaaS-решение с улучшенным качеством предсказаний и лицензированием (см. раздел «Управление лицензией AppSec.Hub»). При отсутствии лицензии AppSec.CoPilot недоступен для выбора.
Для авторизации в AppSec.CoPilot необходимо указать токен в поле AI Provider authorization token. Проверить соединение с AppSec.CoPilot можно с помощью кнопки Test connection.
Для работы с CoPilot mini токен не требуется.
Кроме того, вкладка AI Provider содержит следующие настройки:
- Number of issues — количество проблем безопасности, единовременно передаваемых в инструмент обработки уязвимостей для анализа и предсказания.
- Observable statuses — отслеживаемые статусы уязвимостей, для которых выполняется анализ. В раскрывающемся меню выберите статусы проблем, для которых будет выполняться анализ, и нажмите на кнопку
, расположенную в правой части поля. - Enable auto-review — включение автоматического анализа выявленных проблем безопасности после каждого импорта проблем из инструмента AST в AppSec.Hub. Это позволяет автоматически присваивать импортированным проблемам статус «ложноположительный» (False Positive) или «истинно положительный» (True Positive). Чтобы получать результаты анализа корреляции уязвимостей приложения и оценку «истинно/ложноположительный» для проблем безопасности SAST, переведите селектор в положение «включено». Для проблем безопасности SAST, имеющих оценку «истинно/ложноположительный», в системе отображаются три дополнительных поля: AI status, AI Accuracy и AI Model (см. раздел «Информация о проблемах безопасности»).
Корреляция
AppSec.Hub позволяет определять корреляцию между проблемами безопасности, импортированными из инструментов AST, и группировать их по результатам анализа, проведенного с помощью выбранного инструмента (AppSec.CoPilot или CoPilot mini).
На основе выполненного анализа выявленные проблемы безопасности группируются для дальнейшей работы с ними, например, для включения в дефекты безопасности.
Расчет корреляции и формирование групп корреляции производится после каждого импорта уязвимостей по всему сканируемому приложению без привязки, например, только к одной выбранной кодовой базе.
Система определяет корреляцию для проблем безопасности одного типа (SAST, DAST или SCA Security), в том числе обнаруженных разными инструментами сканирования.
Примечание
В системе не рассчитывается корреляция:
- Для проблем безопасности SCA Compliance.
- Для проблем безопасности DAST, импортированных из инструмента Стингрей.
Примечание
Система поддерживает анализ проблем безопасности в следующих языках и их написаниях:
- Java (в написаниях Java, JAVA).
- JavaScript (в написаниях JavaScript, JAVASCRIPT).
- Python (в написаниях Python, PYTHON).
- CSharp (в написаниях CSharp, Csharp, C#, CS).
- CONFIG (в написании CONFIG).
- PHP (в написании PHP).
- PLSQL (в написаниях PLSQL, TSQL).
Внимание
Для следующих CWE ID в некоторых языках качество классификации низкое:
| CWE ID | |
|---|---|
| CONFIG | 1032 |
| CSharp | 1032 |
| JavaScript | 1032 |
| PLSQL | 265 |
| Python | 617 |
Если в результатах сканирования для перечисленных выше языков присутствуют уязвимости с указанными CWE ID, то система может неверно классифицировать их как False Positive, поэтому не рекомендуется включать такие уязвимости в автоматические правила на False Positive.
Расположенный на вкладке Correlation переключатель Apply correlation rules включает или отключает применение правил корреляции к уязвимостям, полученным в результате импорта проблем безопасности. Если данная настройка отключена, корреляция после импорта рассчитываться не будет.
В секции Correlation rules отображаются правила, по которым будет определяться корреляция. Для каждого правила указаны:
- Название правила.
- Статус правила в системе (активное/неактивное).
- Является ли данное правило правилом по умолчанию (Default).
- Type — тип проблем безопасности, к которым применяется данное правило.
- Parameters — параметры, по которым в правиле определяется корреляция между проблемами безопасности.
По умолчанию в системе существует четыре правила корреляции:
- SCA Security & component version — для проблем безопасности SCA Security. Корреляция в этом правиле определяется с помощью алгоритма, использующего параметры scan_target, component_name и component_version.
- SCA Security & fix version — для проблем безопасности SCA Security, сгруппированных с учетом исправленной версии. Корреляция в этом правиле определяется с помощью алгоритма, использующего параметры scan_target, component_name и fix_version.
- SAST — для проблем безопасности SAST. Корреляция в этом правиле определяется с помощью алгоритма, использующего параметры cwe и path.
- DAST — для проблем безопасности DAST. Корреляция в этом правиле определяется с помощью алгоритма, использующего параметры cwe и url.
Примечание
В случае удаления какого-либо из объектов сканирования из приложения в AppSec.Hub, система производит автоматический пересчет групп корреляции с учетом произошедших изменений в проблемах безопасности.