Перейти к содержанию

Настройки приложения

Чтобы изменить информацию о приложении и настроить его параметры:

  1. Выберите в меню пункт Applications.
  2. Выберите приложение и перейдите на его страницу.
  3. Выберите пункт меню Settings.

На экране откроется страница настроек приложения с несколькими вкладками.

Вкладка General позволяет настроить следующие параметры приложения:

  • Application name — название приложения.
  • Code — внутренний код приложения во внешних пользовательских системах (генерируется автоматически).
  • External ID — внешний идентификатор приложения. Передается внешним инструментом.
  • Description — краткое описание приложения.
  • Access groups — команда пользователей, имеющих права на управление данным приложением.
  • DevSecOps pipelines — если этот переключатель выключен, пайплайны для этого приложения не могут быть запущены.
  • Integrity check — если этот переключатель включен, только кодовые базы, добавленные в AppSec.Hub, могут быть просканированы через вызов REST API.

  • Issue state policy — настройка алгоритма изменения состояний проблем безопасности при импорте отчетов. Может быть выбран один следующих вариантов:

    • Compare with the 1st scan — определять состояние импортируемых проблем безопасности в сравнении с результатами первого сканирования.
    • Compare with previous scan — определять состояние импортируемых проблем безопасности в сравнении с результатами предыдущего сканирования.
    • Compare with the previous scan in the target branch — определять состояние обнаруживаемых проблем безопасности в сравнении с результатами предыдущего сканирования из целевой ветки, указанной как параметр сканирования или импорта результатов. Эта настройка применима только для кодовых баз. Подробное описание данной настройки см. в разделе «Настройки пайплайна».

    Примечание

    Настройка Issue state policy также определяется для каждого пайплайна (см. детали в разделе «Настройки пайплайна»). Настройка на уровне пайплайна имеет приоритет по сравнению с настройкой на уровне приложения.

  • Structure unit type — в этом поле можно выбрать тип структурной единицы приложения.

  • Workspace — рабочее пространство, в котором находится приложение.
  • Target scan period — целевой период сканирования приложения, устанавливаемый в днях (по умолчанию - 90 дней). Используется для оценки регулярности сканирования.

Сопоставление приложения с командой

Информация о командах с разрешением на управление приложением доступна в разделе Access groups на вкладке General на странице Settings.

Нажмите на кнопку Add group справа и выберите команду из выпадающего меню, чтобы добавить команду в список команд, работающих с приложением. Чтобы удалить команду из этого списка, нажмите на значок справа от ее названия.

Статус приложения (Supported/Not supported)

Все приложения в AppSec.Hub имеют статус либо «Supported», либо «Not supported» (применяется при фильтрации приложений на странице Applications).

Выберите приложение на странице Applications и далее пункт меню Settings. Статус приложения (Supported/Not supported) определяется положением селектора DevSecOps pipelines на вкладке General.

Если селектор выключен, приложение имеет статус «Not supported», a пайплайны для этого приложения не могут быть запущены. Переведите селектор в положение «включено». Теперь приложение имеет статус «Supported», а пайплайны для этого приложения могут быть запущены.

Сопоставление приложения с рабочим пространством

Каждое приложение в AppSec.Hub сопоставляется с рабочим пространством. Более подробная информация о рабочих пространствах приведена в разделе «Рабочие пространства» Руководства администратора. В AppSec.Hub всегда существует предустановленное рабочее пространство Default. До момента создания других рабочих пространств в системе все приложения могут быть сопоставлены только с этим рабочим пространством. При создании приложения существует возможность сопоставить его с другим ранее созданным рабочим пространством при условии, что создающий приложение пользователь имеет к нему доступ.

В AppSec.Hub всегда существует предустановленная команда Default. До момента создания других команд в системе все пользователи входят только в эту команду. Если пользователь с правами Менеджера может работать только с командой Default, рабочее пространство может быть изменено только на те рабочие пространства, доступ к которым имеют пользователи из команды Default.

После создания в системе других команд пользователем с правами Администратора, пользователь с правами Менеджера может быть добавлен в них Администратором. В этом случае возможности доступа Менеджера к рабочим пространствам будут расширены. Менеджер сможет выбрать рабочее пространство из всех тех, что доступны для пользователей всех команд, членом которых является.

Можно сопоставить приложение с другим рабочим пространством, используя выпадающее меню Workspace на вкладке General, выбрав его из списка доступных.

Информация о технологиях приложения

Выбрав приложение на странице Applications, выберите пункт меню Settings и перейдите на вкладку Technology.

Информация, размещенная на этой вкладке, не является обязательной для заполнения. Она описывает используемые приложением технологии и не влияет на поведение приложения в AppSec.Hub.

Сопоставление приложения с организационной структурой

Выберите вкладку Team на странице настроек приложения Settings.

Текущее положение приложения в организационной структуре компании показано в разделе Org structure.

Обновите привязку приложения к организационной структуре, нажав кнопку Change справа. На экране появится окно Assign application to another unit. Выберите в нем новое подразделение из списка и нажмите на кнопку Assign to selected unit . В разделе Org structure будут отображены обновленные данные.

Вкладка Team позволяет задать информацию о размере и уровне зрелости команды в полях Team size и Team Maturity. Эта информация не является обязательной, а эти поля можно оставить пустыми.

Quality Gate приложения

Примечание

Для выполнения нижеописанных действий требуется роль Менеджера приложения.

Выберите вкладку Quality Gate на странице настроек приложения Settings.

Данная вкладка позволяет настроить Quality Gate для выбранного приложения.

В случае, если опция Inherit quality gate отключена, Quality Gate можно выбрать из выпадающего списка. Удалить такой Quality Gate можно при помощи кнопки Remove QG.

В случае, если опция Inherit quality gate включена, наследуется Quality Gate, установленный для объекта более высокого уровня в иерархии Quality Gates (компании или подразделения в организационной структуре, к которому относится данное приложение).

Профиль рисков приложения

Выберите вкладку Risk profile на странице настроек приложения Settings.

В верхней части этой вкладки отображается сводка рисков приложения.

Нижняя часть вкладки представляет собой вопросник по сбору информации о рисках приложения и позволяет вводить информацию о приложении, используя ряд полей с выпадающими меню. На основе этой информации в верхней части вкладки рассчитываются и отображаются риски информационной безопасности приложения в режиме реального времени.

Уведомления приложения

Выберите вкладку Notifications на странице настроек приложения Settings.

Эта вкладка позволяет включить или выключить отправку уведомлений о различных событиях для данного приложения:

  • Дефект повторно открыт.
  • Дефект исправлен.
  • Ошибка сканирования.
  • Ошибка проверки критериев качества.
  • Ошибка проверки целостности.
  • Обновлен запрос на изменение статуса уязвимости.

Отправка уведомлений осуществляется по электронной почте. При нотификациях производится запись в аудит лог при всех типах событий, представленных в этом пункте меню, а также при тестовом подключении к почтовому серверу и при регистрации нового пользователя (см. «Приложение. Список событий аудита» Руководства администратора ИБ).

Примечание

Важно заметить, что настройка уведомлений возможна как для каждого отдельного приложения, так и в профиле пользователя. Таким образом, если определенный тип уведомлений, например Defect reopened, включен в настройках приложения (см. рис. ниже), но отключен в профиле пользователя (см. раздел «Настройка профиля пользователя»), соответствующие уведомления данному пользователю отправляться не будут.

Отслеживание дефектов приложения

Выберите вкладку Defect tracking на странице настроек приложения Settings.

Здесь расположен переключатель Integration with tracking, который позволяет включить или выключить синхронизацию с выбранной системой отслеживания дефектов.

Эта вкладка в целом предназначена для настройки отслеживания дефектов приложения. Описание работы с ней приведено в разделе «Синхронизация с Jira — настройки».

Обновление описания дефектов приложения

Выберите вкладку Defect settings на странице настроек приложения Settings.

Здесь расположен переключатель Automatic update of defect description, который позволяет включить или выключить автоматическое обновление описания дефектов приложения. По умолчанию он выключен.

Если этот переключатель включен, описание дефекта будет автоматически обновляться при привязке/отвязке уязвимости от дефекта. При привязке уязвимости ее описание будет добавляться в описание дефекта. При отвязке уязвимости ее описание будет удаляться из описания дефекта. Все изменения в описании дефекта, внесенные пользователем, будут при этом перезаписаны.

Расчет WRI групп корреляции

Выберите вкладку Issue Processing на странице настроек приложения Settings.

На этой вкладке можно управлять параметрами расчета параметра WRI группы корреляции.

WRI (Weighted Risk Index) — это взвешенный индекс риска. Значение WRI для группы корреляции рассчитывается по количеству уязвимостей каждой критичности в группе, умноженному на соответствующий вес:

WRI = (кол-во Critical * вес Critical) + (кол-во High * вес High) + (кол-во Medium * вес Medium) + (кол-во Low * вес Low)

По значению WRI можно отсортировать сформированные группы уязвимостей — от наиболее критичных к наименее важным (см. раздел «Группировка проблем безопасности»). Чем выше WRI группы, тем выше она в списке и имеет более высокий приоритет обработки.

Использование значений весов по умолчанию (Critical — 10, High — 8, Medium — 5, Low — 2) может привести к следующей ситуации:

  • Группы с тысячами уязвимостей низкой критичности (Low) получают высокий WRI.
  • Такие группы всплывают в топ при сортировке, выше групп с критичными уязвимостями.
  • Это искажает приоритеты и мешает сосредоточиться на действительно критичных рисках.

Чтобы предотвратить такую ситуацию, в настройках на вкладке Issue Processing можно изменить веса:

  • Уменьшить вес для Low (например, с 2 до 1).
  • Увеличить вес для Critical/High (например, 80 или 100 для Critical, 50 для High).

Пример

Если выставить веса 80, 50, 3, 1, то:

  • Группы с Critical будут на первых местах.
  • Группы с большим количеством Low опустятся вниз (их вклад в WRI станет незначительным).

Важно: Изменения весов вступят в силу только после запуска сканирования или импорта уязвимостей. Пересчёт WRI выполняется во время обработки результатов сканирования или отчётов, когда запускается процесс расчета корреляции уязвимостей и формируются группы коррелированных уязвимостей.

Журнал задач

Пункт меню Task log позволяет просмотреть журнал задач с записями о различных типах событий для данного приложения.

Страница содержит четыре вкладки:

  • Imports — задачи, связанные с импортом уязвимостей из других инструментов. Отображаются следующие данные:

    • ID — идентификационный номер.
    • STATUS — статус.
    • DURATION — продолжительность.
    • WARNINGS — предупреждения. При наличии предупреждений в данном столбце отображается значок «!», нажав который можно ознакомиться с перечнем предупреждений.
    • SCAN ID — идентификационный номер сканирования, запустившего эту задачу. При нажатии на эту ссылку происходит переход на страницу с детальной информацией об этом сканировании.
    • PIPELINE — ссылка на пайплайн, в рамках которого выполнялось сканирование.
    • STARTED BY — имя пользователя, инициировавшего процесс импорта уязвимостей. Если импорт был запущен автоматический, например после завершения сканирования, в данном поле отображается значение «auto».

  • Onboarding — задачи, связанные с выполнением скриптов AppSec.Hub CLI, см. «Приложение 5. Параметры скриптов AppSec.Hub CLI» и «Приложение 6. Примеры запуска скриптов AppSec.Hub CLI».

  • Scans — задачи, связанные со сканированием пайплайнов.

  • Tracker syncs — задачи, связанные с синхронизацией с системой отслеживания ошибок.

К началу