Перейти к содержанию

Дефекты безопасности

Примечание

Для выполнения нижеописанных действий требуется роль Инженер ИБ.

Обычно инструмент сканирования генерирует десятки или даже сотни проблем безопасности. Не все эти проблемы уникальны и действительно важны для безопасности приложения. Инженеру ИБ необходимо проанализировать все проблемы безопасности и сформировать технический долг по безопасности приложения. На основе найденных уязвимостей могут быть созданы дефекты безопасности (security defects) в проектной системе отслеживания дефектов, например, в Jira.

Примечание

Статусы дефектов в AppSec.Hub должны быть сопоставлены со статусами в проектной системе отслеживания дефектов (например, Jira), см. раздел «Синхронизация с Jira — настройки».

Между проблемами и дефектами безопасности есть несколько важных различий:

  • Проблемы безопасности обнаруживаются и документируются с помощью инструментов сканирования. Статус дефекта проблеме (-ам) безопасности присваивает Инженер ИБ при занесении в систему отслеживания дефектов.
  • Проблемы безопасности хранятся в инструментах AST и импортируются в AppSec.Hub. Дефекты безопасности создаются в AppSec.Hub и экспортируются в систему отслеживания дефектов (Jira).
  • Дефекты создаются на основе проблем безопасности. Один дефект может включать несколько проблем безопасности. Такое решение должен принять Инженер ИБ на основе проведенного анализа.

Информация о дефектах безопасности

Информация о дефектах всех приложений, к которым пользователь имеет доступ в системе, отображается на глобальной странице дефектов Defects.

Чтобы начать работу с проблемами безопасности одного приложения, выберите пункт меню Applications, выберите приложение и далее - пункт меню Defects.

Общее количество открытых на данный момент дефектов безопасности (открытые дефекты имеют статус Open, In Progress или Registered, закрытые - Fixed, Rejected или Closed), относящихся к выбранному приложению, отображается рядом с пунктом меню Defects.

Для каждого дефекта отображается следующая информация:

  • DEFECT DETAILS — краткое описание дефекта, включающее в себя:

    • # — идентификатор дефекта в системе и его краткое описание.

    • Status — статус дефекта, показывающий текущий этап жизненного цикла дефекта в AppSec.Hub (Registered, Open, Fixed, In Progress, Closed или Rejected).

      Примечание

      Если статус дефекта не совпадает со статусом включенных в него проблем безопасности, слева от статуса дефекта отображается значок . Такое предупреждение выдается либо для открытых дефектов (со статусом Open, In Progress или Registered), все прилинкованные проблемы которых закрыты и имеют статус Fixed, либо для закрытых дефектов (со статусом Fixed, Rejected или Closed), у которых хотя бы одна из прилинкованных проблем открыта и не имеет статуса Fixed.

    • Severity — серьезность дефекта (Low, Medium, High или Critical). Чем выше степень серьезности, тем более негативное влияние он оказывает на приложение.

    • Author — имя пользователя, создавшего дефект. Фильтр на странице Defects позволяет использовать данный параметр в качестве аргумента фильтрации. Поиск осуществляется как по логину, так и по имени и фамилии пользователя.
    • Created — дата создания дефекта.
    • Updated — дата обновления информации о дефекте.
    • Last sync — дата последней синхронизации дефекта с проектной системой отслеживания дефектов.

    • Tracker sync — ссылка на дефект в проектной системе отслеживания дефектов, соответствующий дефекту в AppSec.Hub. Если это поле отсутствует, этот дефект никогда не синхронизировался с проектной системой отслеживания дефектов. Если оно содержит значение Failed, это значит, что попытки синхронизации были, но ни одна из них не была успешной. Если это поле содержит ссылку на дефект синего цвета, последняя синхронизация прошла успешно. Если это поле содержит ссылку на дефект красного цвета, последняя синхронизация закончилась неудачно.

      Примечание

      Cсылка в поле Tracker sync отображается, только если в результате синхронизации в проектной системе отслеживания дефектов был создан соответствующий дефект. При наведении курсора на ссылку в этом поле высвечивается дата последней синхронизации данного дефекта.

    • Application — приложение, к которому относится дефект.

    • Scan tool — инструмент AST, с помощью которого был обнаружен дефект.
    • Source — источник обнаружения дефекта (Manual, Tool, Public source, External source).
    • Stage — этап, на котором был обнаружен дефект. Может быть выбран из следующего списка: Development, Functional Testing, Integration Testing, User Acceptance Testing, Production. В примере на рисунке выше это стадия разработки (DEV).
    • Structure unit — структурная единица, к которой относится дефект.
    • Release object — релизный объект, к которому относится дефект.

  • PRIORITY — приоритет дефекта (Blocker, Critical, Major, Minor, Info) указывает на важность или срочность исправления этого дефекта.

  • DUE DATE — срок устранения дефекта безопасности. Данное поле облегчает Инженеру ИБ контроль за ходом исправления дефектов. Когда указанная дата будет просрочена, цвет рамки вокруг нее сменится на красный.

Справа от дефекта располагается иконка , с помощью которой можно удалить дефект.

Кроме этого, предусмотрена возможность фильтрации дефектов по следующим параметрам:

  • by application — по приложению;
  • by structure unit — по структурным единицам приложения. Этот фильтр можно поставить после того, как в поле by application было выбрано приложение;
  • by author — по автору дефекта;
  • sort by — сортировка в заданном порядке:
    • Newest first — от новых к старым.
    • Priority: High to Low — по уменьшению приоритета.
    • Priority: Low to High — по возрастанию приоритета.
    • Last updated — от старых к новым.
    • Due date: oldest on top — по сроку устранения дефекта — от менее срочных к более срочным.
    • Due date: newest on top — по сроку устранения дефекта — от более срочных к менее срочным.
  • by priority — по приоритету (All, Info, Minor, Major, Critical, Blocker);
  • by severity — по серьезности дефекта (All, Low, Medium, High, Critical);
  • by status — по статусу (All, Registered, Open, In Progress, Fixed, Rejected, Closed);
  • by sync — по статусу синхронизации (Success, Not started, Failed).

При выборе опции Only overdue defects будут показаны только те дефекты, у которых истек срок устранения.

Создание дефекта без включения в него проблем безопасности

Инженер ИБ может создать дефект, находясь на странице выбранного приложения или на глобальной странице дефектов. Важно отметить, что при создании дефекта на глобальной странице Defects невозможно связать с ним какие-либо проблемы безопасности, обнаруженные инструментами сканирования. Порядок создания дефекта со связанными проблемами безопасности приведен в разделе «Создание дефекта на основе проблем безопасности».

  1. Выберите пункт меню Defects.
  2. Нажмите на кнопку Actions и в выпадающем меню выберите пункт Create defect.
  3. Если дефект создается на глобальной странице дефектов, выберите приложение в окне Create defect и нажмите на кнопку Create.
  4. Введите краткое описание дефекта и при необходимости заполните остальные поля.
  5. Нажмите на кнопку Save.

Вновь созданный дефект будет добавлен в общий список.

Создание дефекта на основе проблем безопасности

Примечание

Если в системе созданы шаблоны описания дефектов, дефекты безопасности на основе проблем безопасности будут создаваться с использованием этих шаблонов.

Создать дефект безопасности на основе нескольких проблем безопасности можно либо на глобальной странице проблем безопасности Issues, либо на странице приложения. Чтобы создать дефект на странице приложения, необходимо предварительно выбрать приложение, а затем нажать пункт меню Issues.

Примечание

Дефект можно создать на основе проблем безопасности, имеющих в системе статус To verify, Fixed, False positive, Accepted risk или Confirmed. В результате создания дефекта у всех прикрепленных к дефекту проблем безопасности статус будет изменен на Open.

Нажимая значки , выберите из списка проблемы безопасности, которые будут использоваться для создания дефекта. Выбранные проблемы будут отмечены значком . В результате на кнопке Actions справа вверху будет отображаться количество проблем безопасности, связанных с создаваемым дефектом.

Нажмите на кнопку Actions и в выпадающем меню выберите пункт Create defect, чтобы создать новый дефект безопасности.

Примечание

Если будут выбраны проблемы безопасности, относящиеся к разным практикам или приложениям, пункт выпадающего меню Create defect кнопки Actions будет неактивен. Для облегчения выбора соответствующих проблем безопасности используйте фильтрацию.

Существует альтернативный способ создания дефекта, но только на основе одной проблемы безопасности. Для этого необходимо справа в конце строки выбранной проблемы безопасности в выпадающем меню «» выбрать пункт Create defect.

Кроме того, для создания дефекта на основе одной проблемы безопасности можно выбрать ее из списка проблем и нажать на ее идентификатор. Далее на странице с детальной информацией о проблеме безопасности необходимо нажать на кнопку Actions и выбрать пункт Create defect.

После выбора пункта Create defect на экране появится окно с информацией о создаваемом дефекте. Окно имеет две вкладки:

  • Description с подробным описанием дефекта.
  • Linked issues с перечнем связанных с дефектом проблем безопасности и указанием их общего количества.

На вкладке Description указываются подробные сведения о создаваемом дефекте (поля, обязательные для заполнения, отмечены звездочкой):

  • Краткое описание дефекта в поле Summary.
  • Информация о всех выбранных уязвимостях, которая переносится в описание дефекта из инструмента AST.

Вкладка Description содержит детальную информацию о дефекте, включая ссылки и т.п. С помощью расположенного справа вверху переключателя Edit mode можно выбрать режим просмотра или редактирования описания дефекта. В режиме редактирования при включенном переключателе Edit mode можно отредактировать текст на вкладке Description, в том числе и при нажатии на ссылку. В режиме просмотра нажатие на ссылку приводит к переходу по ссылке. Выбранная с помощью переключателя Edit mode настройка запоминается для пользователя и сохраняет состояние при работе с другими дефектами.

По нажатию на кнопку Refresh описание дефекта обновляется исходя из того, какие проблемы безопасности были добавлены в дефект или удалены из дефекта. Перед обновлением на экране появляется модальное окно с предупреждением о том, что все несохраненные внесенные вручную изменения будут утеряны при обновлении описания.

В правой части страницы отображаются:

  • Priority — приоритет дефекта (Blocker, Critical, Major, Minor, Info) — указывает на важность или срочность исправления.
  • Severity — серьезность дефекта (Low, Medium, High, Critical) — характеризует степень влияния дефекта на разработку или работу приложения. Чем выше степень серьезности, тем более негативное влияние он оказывает на приложение.
  • Status — статус дефекта показывает текущий этап жизненного цикла дефекта в AppSec.Hub (Registered, Open, Fixed, In Progress, Closed, Rejected). Статусы дефектов в AppSec.Hub должны быть сопоставлены со статусами в проектной системе отслеживания дефектов (например, Jira), см. раздел «Синхронизация с Jira — настройки».
  • Source — источником дефекта может быть один из следующих:
    • Manual — дефект был обнаружен во время ручного тестирования.
    • Tool — дефект был найден инструментом AST.
    • Public source — о дефекте было сообщено в статье в Интернете или в любом другом публичном отчете.
    • External source — о дефекте сообщил любой внешний источник в рамках программы Bug Bounty или в рамках любой другой программы лояльности.
  • Tool — инструмент AST, обнаруживший дефект. Данное поле автоматически заполняется для всех дефектов, созданных на основе проблем безопасности, на основе информации об инструменте AST, обнаружившим эти проблемы безопасности. Существует возможность вручную изменить значение в этом поле.
  • Type — тип дефекта (Requirements, Architecture, Software, Configuration, Security).
  • Detection stage — этап, на котором был обнаружен дефект. Может быть выбран из следующего списка: Development, Functional Testing, Integration Testing, User Acceptance Testing, Production.
  • Structure unit — структурная единица, к которой относится дефект.
  • Due date — срок устранения дефекта. Можно настроить синхронизацию данного параметра с проектной системой отслеживания дефектов. В зависимости от настроек синхронизация может носить как односторонний, так и двухсторонний характер. Более подробная информация о сопоставлении полей AppSec.Hub и проектной системы отслеживания дефектов приведена в разделе «Синхронизация с Jira — настройки». Кроме этого, фильтр на странице Defects позволяет использовать данный параметр в качестве аргумента фильтрации.
  • Release object — релизный объект, к которому относится дефект.
  • Last sync — дата последней синхронизации дефекта с проектной системой отслеживания дефектов.

Теперь рассмотрим вкладку Linked issues. Как было сказано выше, на данной вкладке отображаются все проблемы безопасности, связанные с созданным дефектом.

Для каждой связанной с соответствующим дефектом проблемы безопасности указывается следующая информация:

  • ID — идентификатор проблемы безопасности в системе.
  • TYPE — тип проблемы безопасности (SAST, DAST, SCA Security, SCA Compliance).
  • SOURCE — источник проблемы безопасности (файл, артефакт, библиотека и т. д.).
  • STATUS — статус проблемы безопасности.
  • LAST SCAN — идентификатор последнего сканирования, на основе которого определен статус проблемы безопасности. При нажатии на ссылку осуществляется переход на страницу с подробной информацией о соответствующем сканировании.
  • SCAN DATE — дата и время сканирования.

  • SCAN OBJECT — объект сканирования. Для кодовых баз и экземпляров приложения данное поле имеет структуру, состоящую из двух частей: <идентификатор кодовой базы/инстанса> и <ветвь кодовой базы/сайт>, в зависимости от объектов сканирования и типов уязвимостей. Для артефактов структура данного поля выглядит следующим образом: <repositoryName> : <group> : <artifact> : <version> (build: <buildVersion>) где:

    • <repositoryName> — имя репозитория, где лежит артефакт, на базе которого создан объект (опциональный параметр, указывается для nexus репозитория, для filestorage артефактов не существует);
    • <group> — имя группы (опциональный параметр, указывается для maven и npm артефактов);
    • <artifact> — имя артефакта в репозитории (не следует путать с именем артефакта в AppSec.Hub);
    • <version> — версия артефакта (опциональный параметр, указывается, если она есть у артефакта, ее может не быть для raw, yum, filestorage артефактов);
    • <buildVersion> — версия билда (опциональный параметр, указывается, если она есть у артефакта).

    Если в ходе работы пайплайна произошло тегирование артефакта, то при наведении указателя мыши на значение в этом поле, во всплывающем окне отображаются идентификатор и версия протегированного артефакта.

Введите/отредактируйте сведения о дефекте и нажмите кнопку Save в правом верхнем углу.

Все связанные с дефектом проблемы безопасности будут переведены в статус Open, а также будет создан новый дефект безопасности со статусом Registered.

Добавление проблем безопасности в дефект

Предусмотрена возможность добавления в ранее созданный дефект одной или нескольких проблем безопасности. У добавленных в дефект проблем безопасности присвоенный ранее вручную в системе статус, в том числе False positive, Accepted Risk или Confirmed, будет изменен на Open.

Выберите пункт меню Issues.

Чтобы добавить в дефект одну проблему безопасности, выберите в строке этой проблемы в выпадающем меню «» пункт Link to defect.

В появившемся окне Link issues to defect в поле Enter defect выберите дефект из списка и нажмите на кнопку Add.

Вновь добавленная проблема безопасности появится на вкладке Linked issues дефекта, а на вкладке Status history самой проблемы безопасности появится новая строка, отображающая получение проблемой статуса Open. В зависимости от настройки обновления описания дефектов приложения, описание привязанной уязвимости может быть автоматически добавлено в описание дефекта на вкладке Description.

Также проблему безопасности можно добавить в дефект на странице с детальной информацией о ней, нажав на кнопку Actions и выбрав в раскрывающемся меню пункт Link to defect.

Кроме того, одну или несколько проблем безопасности можно добавить в дефект следующим образом:

  1. На странице Issues, нажимая значки , выберите из списка необходимые проблемы безопасности. Выбранные проблемы будут отмечены значком .
  2. Нажмите на кнопку Actions и в раскрывающемся меню выберите пункт Link to defect.
  3. В появившемся окне Link issues to defect в поле Enter defect выберите дефект из списка и нажмите кнопку Add.

Вновь добавленные проблемы безопасности появятся на вкладке Linked issues дефекта.

Примечание

При добавлении проблем безопасности существуют следующие ограничения:

  1. Если проблема уже привязана к одному из дефектов, ее нельзя привязать к еще одному дефекту.

  2. Проблему безопасности нельзя привязать к дефекту, если в нем уже есть проблема безопасности другого типа (SAST, SCA Compliance, SCA Security, DAST).

  3. Нельзя одновременно привязать к дефекту несколько проблем безопасности разных типов (SAST, SCA Compliance, SCA Security, DAST).

Удаление дефекта

Для удаления дефекта безопасности:

  1. Выберите пункт меню Defects.

  2. Нажмите идентификатор выбранного дефекта #. На экране появится окно с подробной информацией о нем.

  3. Нажмите на кнопку Actions и в раскрывающемся меню выберите пункт Delete.

После подтверждения дефект будет удален.

Примечание

Если дефект синхронизирован с проектной системой отслеживания дефектов, произойдет не его удаление, а изменение статуса на Rejected. Чтобы полностью удалить дефект, необходимо предварительно удалить конфигурацию синхронизации с системой отслеживания дефектов (см. раздел «Удаление конфигурации синхронизации с системой отслеживания дефектов») и, только когда связи с созданными тикетами будут разорваны, дефект можно будет удалить полностью.

Удаление всех проблем безопасности из дефекта

Предусмотрена возможность удаления из дефекта всех связанных с ним проблем безопасности.

  1. Выберите пункт меню Defects.

  2. Нажмите идентификатор выбранного дефекта #. На экране появится окно с подробной информацией о нем.

  3. Нажмите на кнопку Actions и в раскрывающемся меню выберите пункт Unlink issues.

После подтверждения все проблемы безопасности будут удалены из дефекта безопасности. При этом все открепленные от дефекта проблемы безопасности получат статус To verify.

В зависимости от настройки обновления описания дефектов приложения, описание всех отвязанных от дефекта уязвимостей может быть автоматически удалено из описания дефекта на вкладке Description.

Удаление проблем безопасности из дефекта

Предусмотрена возможность удаления из ранее созданного дефекта одной или нескольких связанных с ним проблем безопасности. Все открепленные от дефекта проблемы безопасности получат статус To verify.

  1. Выберите пункт меню Defects.

  2. Нажмите на идентификатор выбранного дефекта #. На экране появится окно с подробной информацией о нем.

  3. Перейдите на вкладку Linked issues.

  4. Чтобы удалить одну проблему безопасности, выберите в строке выбранной проблемы в выпадающем меню «» пункт Unlink from defect. В зависимости от настройки обновления описания дефектов приложения, описание отвязанной от дефекта уязвимости может быть автоматически удалено из описания дефекта на вкладке Description.

Несколько проблем безопасности можно удалить из дефекта следующим образом:

  1. На вкладке Linked issues, нажимая значки , выберите из списка необходимые проблемы безопасности. Выбранные проблемы будут отмечены значком .

  2. Нажмите на кнопку Actions и в раскрывающемся меню выберите пункт Unlink selected issues. Выбранные проблемы будут откреплены от дефекта и получат статус To verify.

Существуют альтернативные способы удалить одну проблему безопасности из дефекта безопасности:

  • На странице Issues в строке проблемы безопасности в выпадающем меню «» выберите пункт Unlink from defect. После подтверждения проблема безопасности будет удалена из дефекта.

  • Также проблему безопасности можно открепить от дефекта на странице с детальной информацией о ней, нажав кнопку Actions и выбрав в раскрывающемся меню пункт Unlink from defect.

Синхронизация дефектов с системой отслеживания дефектов

Ручная синхронизация

Предположим, что в AppSec.Hub был создан или обновлен один или несколько дефектов безопасности. Все вновь созданные или обновленные дефекты безопасности необходимо синхронизировать с проектной системой отслеживания дефектов (Jira или YouTrack).

Для корректной синхронизации дефектов между AppSec.Hub и Jira эти два инструмента должны быть согласованы между собой. Подробное описание процесса согласования приведено в разделе «Синхронизация с Jira — настройки».

AppSec.Hub позволяет синхронизировать дефекты как для одного выбранного приложения, так и для всех приложений, к которым пользователь имеет доступ.

Чтобы синхронизировать дефекты для одного приложения, нажмите пункт меню Applications, выберите приложение, перейдите на страницу Defects и нажмите кнопку фильтрации Show filters справа вверху.

Дефекты, находящиеся в статусе Registered, в синхронизацию не попадают. В первичную синхронизацию попадают только дефекты, находящиеся в статусе Open, то есть при синхронизации они выгружаются в проектную систему отслеживания дефектов, и в дальнейшем при изменении статуса также участвуют в синхронизации. Если вы хотите предварительно просмотреть список таких дефектов, на вкладке Filters выберите Open в поле by status. На странице будут отображены готовые к синхронизации дефекты безопасности.

Нажмите на кнопку Actions в правом верхнем углу и в выпадающем меню выберите пункт Sync with tracker.

Примечание

Пункт меню Sync with tracker будет недоступен для использования в случае, если у приложения отключена синхронизация с проектной системой отслеживания дефектов. Включить или выключить синхронизацию можно с помощью переключателя Integration with tracking, расположенного на вкладке Defect tracking на странице настроек приложения Settings (см. раздел «Отслеживание дефектов приложения»).

Дефекты безопасности будут синхронизированы между AppSec.Hub и Jira. Обновленная информация о дефектах будет отображена на странице Defects.

Примечание

Если информация о дефектах в AppSec.Hub и Jira не претерпела изменений, появится сообщение об успешном завершении синхронизации, но количество синхронизированных дефектов (поле Synchronized) будет нулевым.

Примечание

Если для перевода дефекта в целевой статус в Jira необходим комментарий, то AppSec.Hub его автоматически проставит. Это относится к переводу дефекта в целевой статус In Progress или Rejected как в ручном режиме, так и при автоматической синхронизации.

Пример автоматически добавленного в Jira комментария:

During synchronization with AppSec.Hub, the status was automatically changed to '<target status>' by the user '<username>'
Change Date: <date>

Примечание

Особенность Jira такова, что при синхронизации в описание дефекта можно передать не более 32 767 символов. Чтобы сохранить возможность ознакомления с полным описанием дефекта, в соответствующую задачу Jira передается ссылка на полное описание дефекта в AppSec.Hub. В сообщении об итогах проведенной синхронизации указывается, у каких дефектов было сокращено описание.

Предусмотрена возможность управления максимальной длиной описания дефекта, передаваемого в Jira. Например, чтобы сократить описание дефекта до 300 символов, необходимо в файл app.properties добавить параметр hub.jira.description.length=300. В результате в Jira будет экспортироваться описание дефекта длиной 300 символов и ссылка на его полное описание в AppSec.Hub. Более подробная информация о конфигурационном файле app.properties приведена в Приложении 4.

Чтобы синхронизировать дефекты для нескольких приложений, находясь на главном экране системы AppSec.Hub, выберите в меню пункт Defects. Нажмите на кнопку Actions и в выпадающем меню выберите пункт Sync with tracker. На экране появится окно Start synchronization.

Выберите в этом окне приложения, дефекты которых необходимо синхронизировать с проектной системой отслеживания дефектов. Чтобы выбрать все доступные пользователю приложения, нажмите пункт Select all. Отдельные приложения можно выбрать, нажав на выпадающее меню Enter Application Name. Можно воспользоваться поиском нужных приложений, введя имя или часть имени приложения в поле Search.

Список уже выбранных приложений можно скорректировать. Чтобы исключить из списка уже выбранное приложение, достаточно нажать значок справа от его имени. Чтобы очистить весь список, нажмите на кнопку Deselect all.

Чтобы начать процесс синхронизации, нажмите на кнопку Start synchronization. На экране появится окно The synchronization process started. В этом окне содержится информация о том, для каких дефектов был начат процесс синхронизации, а для каких он не стартовал по каким-либо причинам с указанием ID приложения, его имени и описанием ошибки. Нажмите на кнопку Ok внизу окна.

После завершения синхронизации на странице Defects в строке дефекта в поле Tracker sync отображаются ссылки на соответствующие дефекты в проектной системе отслеживания дефектов.

Если ссылка синего цвета, синхронизация прошла успешно. Ссылка красного цвета указывает на наличие ошибок синхронизации. Наведя курсор на ссылку, можно увидеть дату успешной синхронизации или причину неуспешной синхронизации.

Примечание

Синхронизация дефектов, у которых схема мапирования между AppSec.Hub и проектной системой отслеживания дефектов не позволяет одновременно корректно изменять статусы дефектов в обеих системах (см. раздел «Синхронизация с Jira - настройки»), например, из-за особенностей жизненного цикла дефекта в проектной системе отслеживания дефектов, заканчивается ошибкой синхронизации. У таких дефектов после завершения синхронизации в поле Tracker sync отображается описание причины ошибки синхронизации, например, Failed to convert hub task to Jira issue. Jira transition from current issue status To Do to Done not found. Make sure the App trackers status and field mapping are correct. Эта информация отображается при первой неуспешной синхронизации и позволяет решить возникшую проблему синхронизации либо путем изменения настроек в системе отслеживания дефектов, либо путем изменения мапирования в AppSec.Hub. При последующих синхронизациях у дефектов с проблемой в схеме мапирования информация в поле Tracker sync не отображается и перестает быть доступной для пользователя.

Чтобы обнаружить несинхронизированные дефекты или те, при синхронизации которых возникли ошибки, можно воспользоваться фильтром. Нажмите на кнопку фильтрации Show filter и в поле by sync выберите соответственно значение Not started или Failed.

Чтобы получить информацию о результатах последней синхронизации дефектов приложения, нажмите на значок , расположенный рядом с полем Last synchronized в нижнем левом углу.

Примечание

Значок рядом с полем Last synchronized отображается только в случае, если уже была произведена хотя бы одна синхронизация дефектов.

Появившееся окно с информацией о результатах последней синхронизации дефектов будет зеленого или красного цвета в зависимости от ее результатов.

Автоматическая синхронизация

Примечание

Описанные ниже настройки выполняются Администратором.

В системе предусмотрена возможность автоматизации процесса синхронизации дефектов между AppSec.Hub и проектной системой отслеживания дефектов, например Jira. Автоматическая синхронизация полностью происходит в фоновом режиме, а для ее запуска используется планировщик задач.

Включение и настройка автоматической синхронизации дефектов осуществляется посредством редактирования конфигурационного файла app.properties, расположенного в директории /opt/apphub/config/hub-core/ (если выбрана рекомендуемая директория установки AppSec.Hub). Детали приведены в разделе «Автоматическая синхронизация дефектов безопасности».

Ручная верификация дефектов

Каждый дефект безопасности должен быть исправлен командой разработчиков приложения. Когда дефект исправлен, разработчики меняют статус дефекта безопасности Jira на Fixed. Теперь дефект необходимо синхронизировать между Jira и AppSec.Hub.

Выберите приложение и далее пункт меню Defects. На экране появится страница дефектов приложения. Нажмите на кнопку Actions в правом верхнем углу и в выпадающем меню выберите пункт Sync with tracker.

Подождите, пока процесс синхронизации будет успешно завершен. Статус дефекта безопасности в AppSec.Hub должен получить значение Fixed, как и в Jira.

Для верификации этого дефекта безопасности Инженер ИБ должен запустить сканирование безопасности и проверить, действительно ли дефект безопасности был устранен (т.е. в последнем отчете по безопасности от инструмента AST больше нет соответствующей проблемы или группы проблем безопасности), и перевести этот дефект в статус Closed в AppSec.Hub. После синхронизации дефектов между AppSec.Hub и Jira соответствующий дефект безопасности также получит статус Closed также и в Jira.

К началу