Создание проверки безопасности

Проверка безопасности — это сущность, которая может объединять в себе связку инструмента сканирования и источника. Она используется для запуска сканирования безопасности, а также для получения результатов сканирований.

note

Перед добавлением проверок безопасности необходимо убедиться в наличии настроенных интеграций с требуемыми источниками сканирования (в разделе Интеграции → Источники безопасности). В случае, если добавление источников сканирования выполняет не только администратор системы и у пользователя имеется доступ к управлению источниками сканирования, то необходимо добавить требуемые источники сканирования (подробнее см. Источники сканирования).

Параметры проверки безопасности

По каждой проверке безопасности в рамках слоя отображаются следующие данные:

• # — порядковый номер проверки безопасности
• Источник — название источника сканирования
• Инструмент — название инструмента безопасности
• Запуск (Ручной/Автоматический)
• Контроли качества (если есть, а также кнопка добавления контроля)
• Статус проверки — статус прохождения контроля качества по отдельной проверке

info

В случае, когда контроль качества не пройден, предусмотрена возможность посмотреть, по каким конкретно метрикам не прошла проверка. Для этого необходимо нажать на статус Не пройден, после этого откроется окно просмотра списка метрик контролей качества.

• Результаты сканирования по отдельной проверке
• Проблемы безопасности по отдельной проверке
• Дополнительные действия по проверке:
  • Начать новое сканирование
  • Редактировать проверку
  • Импортировать результаты
  • Импортировать SBOM
  • Удалить проверку
  • Добавить проблемы безопасности вручную (доступно для manual-инструмента)

Создание новой проверки безопасности

Для того, чтобы добавить проверку безопасности, необходимо выполнить следующие шаги:

1. В разделе Проекты → Название проекта → Слои проекта → Слой проекта нажать на кнопку Добавить (если не добавлено ни одной проверки) или Добавить проверку безопасности.
2. Заполнить форму создания проверки безопасности.

info

При заполнении формы необходимо учитывать следующее:

• При настройке проверки безопасности выбор инструмента безопасности является обязательным. Выбрать возможно только инструмент, ранее добавленный администратором в разделе Интеграции.
• Поля формы зависят от выбранных полей Источник и Инструмент.
• Предусмотрена возможность добавления нескольких веток/тегов источника.
• Также для некоторых инструментов предусмотрена возможность выбора типа запуска сканирования (ручной или автоматический), периодичность и время запуска сканирования при выборе автоматического запуска.
• При выборе инструмента Appscreener SAST для удобства конфигурации предусмотрен функционал формирования и скачивания API-запроса.

3. Проверить соединение с инструментами, нажав кнопку Проверить соединение.

info

Проверка соединения доступна только в случае, если пользователь ранее ввел данные для аутентификации.

4. Нажать кнопку Создать.

info

• Если при создании интеграции с инструментом безопасности администратор системы не указал метод аутентификации, то при добавлении инструмента в Проверку безопасности поле выбора метода аутентификации является обязательным для заполнения. При выборе метода аутентификации на этапе создания проверки безопасности необходимо ввести данные для аутентификации в соответствующие поля (могут меняться в зависимости от метода: Токен API, Логин/Пароль).
• Если при создании интеграции с источником сканирования не был указан метод аутентификации, то при добавлении источника в Проверку безопасности заполнение поля выбора метода аутентификации является обязательным.
• При выборе метода аутентификации на этапе создания проверки безопасности необходимо ввести данные для аутентификации в соответствующие поля.
• При редактировании источника сканирования в ранее созданной проверке безопасности поле Ветки/теги источника показывается или скрывается в зависимости от типа нового источника:
  • Если новый источник не использует ветки — поле ветки скрывается;
  • Если не использует образы — поле тега скрывается.

Импорт результатов: В проверках безопасности предусмотрена загрузка (импорт) результатов сканирования от внешних инструментов. Эта опция доступна не для всех инструментов безопасности.