Подключение инструментов AST
Примечание
Для выполнения нижеописанных действий требуется роль Администратора.
SAST
Подключение Solar appScreener
Подключение Solar appScreener осуществляется на странице администрирования AppSec.Hub, см. раздел «Подключение инструментов разработки ПО».
Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.
В раскрывающемся меню поля Tool type открывшегося диалогового окна Create tool выберите пункт sast, а в поле Product — appscreener.
После выбора этих значений окно Create tool примет следующий вид.
Для подключения укажите в данном окне следующие параметры:
- Задайте имя инструмента в поле Name.
- Укажите URL инструмента Solar appScreener.
- В поле Workspace выберите рабочее пространство (-а), в котором будет использоваться Solar appScreener. Это может быть любое доступное рабочее пространство в AppSec.Hub.
- Для данного инструмента доступен только один способ авторизации — с использованием токена. Введите токен в соответствующее поле.
- Информационное поле Management в правом верхнем углу Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.
- Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).
Нажмите кнопку Connect, чтобы проверить соединение с Solar appScreener.
AppSec.Hub отправит запрос на соединение с инструментом и в правом нижнем углу пользовательского интерфейса отобразится соответствующее уведомление.
Если соединение произошло успешно, нажмите кнопку Create, чтобы подключить инструмент, в противном случае проверьте правильность заполнения всех полей и внесите необходимые изменения.
Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/Workspaces name).
Примечание
В настоящее время Solar appScreener поддерживает сканирование кодовых баз только на языке Java.
Подключение SonarQube
Подключение SonarQube осуществляется на странице администрирования AppSec.Hub, см. раздел «Подключение инструментов разработки ПО».
Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.
В раскрывающемся меню поля Tool type открывшегося диалогового окна Create tool выберите пункт sast, а в поле Product — sonarqube.
После выбора этих значений окно Create tool примет следующий вид.
Для подключения укажите в данном окне следующие параметры:
- Задайте имя инструмента в поле Name.
- Укажите URL инструмента SonarQube.
- В поле Workspace выберите рабочее пространство (-а), в котором будет использоваться SonarQube. Это может быть любое доступное рабочее пространство в AppSec.Hub.
- Для данного инструмента доступны два способа авторизации — с использованием логина/пароля или с использованием токена. Выберите в поле Auth method предпочтительный способ авторизации и укажит необходимые для него параметры.
- Информационное поле Management в правом верхнем углу Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.
- Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).
Нажмите кнопку Connect, чтобы проверить соединение с SonarQube.
AppSec.Hub отправит запрос на соединение с инструментом и в правом нижнем углу пользовательского интерфейса отобразится соответствующее уведомление.
Если соединение произошло успешно, нажмите кнопку Create, чтобы подключить инструмент, в противном случае проверьте правильность заполнения всех полей и внесите необходимые изменения.
Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/Workspaces name).
Подключение Checkmarx
Подключение Checkmarx осуществляется на странице администрирования AppSec.Hub, см. раздел «Подключение инструментов разработки ПО».
Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.
В появившемся окне Create tool выберите элемент sast из выпадающего меню в поле Tool type и элемент checkmarx из выпадающего меню в поле Product.
Если выбраны эти два значения, окно Create tool выглядит следующим образом.
В этом окне определите следующие параметры для подключаемого инструмента Checkmarx:
- Имя инструмента задайте в поле Name.
- В поле URL укажите URL для инструмента Checkmarx.
- В поле Workspace выберите рабочее пространство, которое будет использоваться при работе с Checkmarx. Это может быть любое доступное рабочее пространство в AppSec.Hub.
- В поле Authentication method выберите Login/password, для работы с Checkmarx это единственная опция.
- Введите Login и Password учетной записи, которая выделена для доступа в данный инструмент. При необходимости перед именем пользователя через «/» указывается имя домена.
- Информационное поле Management в правом верхнем углу Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.
- Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).
Нажмите кнопку Connect, чтобы соединиться с Checkmarx.
AppSec.Hub отправит запрос на подключение инструмента Checkmarx. Если соединение было успешным, в правом нижнем углу экрана появится соответствующее уведомление.
Перед подключением к инструменту убедитесь, что селектор в правом верхнем углу окна Create tool находится в положении «включено», и нажмите кнопку Create. В правом нижнем углу экрана появится соответствующее уведомление.
Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/ Workspaces name).
Подключение Application Inspector
Подключение Application Inspector осуществляется на странице администрирования AppSec.Hub, см. раздел «Подключение инструментов разработки ПО». Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.
В раскрывающемся меню поля Tool type открывшегося диалогового окна Create tool выберите пункт sast, а в поле Product — appinspector.
После выбора этих значений окно Create tool примет следующий вид.
Для подключения укажите в данном окне следующие параметры:
- Задайте имя инструмента в поле Name.
- Укажите URL инструмента Application Inspector.
- В поле Workspace выберите рабочее пространство (-а), в котором будет использоваться Application Inspector. Это может быть любое доступное рабочее пространство в AppSec.Hub.
- Для данного инструмента доступен только один способ авторизации — с использованием токена. Введите токен в соответствующее поле.
- Информационное поле Management в правом верхнем углу Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.
- Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).
Нажмите кнопку Connect, чтобы проверить соединение с Application Inspector.
AppSec.Hub отправит запрос на соединение с инструментом и в правом нижнем углу пользовательского интерфейса отобразится соответствующее уведомление.
Если соединение произошло успешно, нажмите кнопку Create, чтобы подключить инструмент, в противном случае проверьте правильность заполнения всех полей и внесите необходимые изменения.
Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/Workspaces name).
DAST
Подключение Netsparker
Подключение Netsparker осуществляется на странице администрирования AppSec.Hub, см. см. раздел «Подключение инструментов разработки ПО».
Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.
В появившемся окне Create tool выберите элемент dast из выпадающего меню в поле Tool type и элемент netsparker из выпадающего меню в поле Product.
Если выбраны эти два значения, окно Create tool выглядит следующим образом.
В этом окне определите следующие параметры для подключаемого инструмента Netsparker:
- Имя инструмента задайте в поле Name.
- В поле URL укажите URL для инструмента Netsparker.
- В поле Workspace выберите рабочее пространство, которое будет использоваться при работе с Netsparker. Это может быть любое доступное рабочее пространство в AppSec.Hub.
- В поле Authentication method выберите User ID/Token.
- User ID и Token учетной записи, которая выделена для доступа в данный инструмент.
- Информационное поле Management в правом верхнем углу Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.
- Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).
Нажмите кнопку Connect, чтобы соединиться с Netsparker.
AppSec.Hub отправит запрос на подключение инструмента Netsparker. Если соединение было успешным, в правом нижнем углу экрана появится соответствующее уведомление.
Перед подключением к инструменту убедитесь, что селектор в правом верхнем углу окна Create tool находится в положении «включено», и нажмите кнопку Create. В правом нижнем углу экрана появится соответствующее уведомление.
Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/ Workspaces name).
Подключение Acunetix
Подключение Acunetix осуществляется на странице администрирования AppSec.Hub, см. раздел «Подключение инструментов разработки ПО». Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.
В раскрывающемся меню поля Tool type открывшегося диалогового окна Create tool выберите пункт dast, а в поле Product — acunetix.
После выбора этих значений окно Create tool примет следующий вид.
Для подключения укажите в данном окне следующие параметры:
- Задайте имя инструмента в поле Name.
- Укажите URL инструмента Acunetix.
- В поле Workspace выберите рабочее пространство (-а), в котором будет использоваться Acunetix. Это может быть любое доступное рабочее пространство в AppSec.Hub.
- Для данного инструмента доступен только один способ авторизации — с использованием токена. Введите токен в соответствующее поле.
- Информационное поле Management в правом верхнем углу Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.
- Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).
Нажмите кнопку Connect, чтобы проверить соединение с Acunetix.
AppSec.Hub отправит запрос на соединение с инструментом и в правом нижнем углу пользовательского интерфейса отобразится соответствующее уведомление.
Если соединение произошло успешно, нажмите кнопку Create, чтобы подключить инструмент, в противном случае проверьте правильность заполнения всех полей и внесите необходимые изменения.
Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/Workspaces name).
Примечание
В настоящее время поддерживается только совместная работа Acunetix с Jenkins.
Подключение BlackBox
Подключение BlackBox осуществляется на странице администрирования AppSec.Hub, см. раздел «Подключение инструментов разработки ПО». Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.
В раскрывающемся меню поля Tool type открывшегося диалогового окна Create tool выберите пункт dast, а в поле Product — blackbox.
После выбора этих значений окно Create tool примет следующий вид.
Для подключения укажите в данном окне следующие параметры:
- Задайте имя инструмента в поле Name.
- Укажите URL инструмента BlackBox.
- В поле Workspace выберите рабочее пространство (-а), в котором будет использоваться BlackBox. Это может быть любое доступное рабочее пространство в AppSec.Hub.
- Для данного инструмента доступен только один способ авторизации — с использованием токена. Введите токен в соответствующее поле.
- Информационное поле Management в правом верхнем углу Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.
- Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).
Нажмите кнопку Connect, чтобы проверить соединение с BlackBox.
AppSec.Hub отправит запрос на соединение с инструментом и в правом нижнем углу пользовательского интерфейса отобразится соответствующее уведомление.
Если соединение произошло успешно, нажмите кнопку Create, чтобы подключить инструмент, в противном случае проверьте правильность заполнения всех полей и внесите необходимые изменения.
Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/Workspaces name).
SCA
Подключение Clair
Подключение Clair осуществляется на странице администрирования AppSec.Hub, см. см. раздел «Подключение инструментов разработки ПО».
Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.
В появившемся окне Create tool выберите элемент sca из выпадающего меню в поле Tool type и элемент clair из выпадающего меню в поле Product.
Если выбраны эти два значения, окно Create tool выглядит следующим образом.
В этом окне определите следующие параметры для подключаемого инструмента Clair:
- Имя инструмента задайте в поле Name.
- В поле URL укажите URL для инструмента Clair.
- В поле Workspace выберите рабочее пространство, которое будет использоваться при работе с Clair. Это может быть любое доступное рабочее пространство в AppSec.Hub.
- В поле Authentication method выберите Anonymous.
- Информационное поле Management в правом верхнем углу Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.
- Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).
Нажмите кнопку Connect, чтобы соединиться с Clair.
AppSec.Hub отправит запрос на подключение инструмента Clair. Если соединение было успешным, в правом нижнем углу экрана появится соответствующее уведомление.
Перед подключением к инструменту убедитесь, что селектор в правом верхнем углу окна Create tool находится в положении «включено», и нажмите кнопку Create. В правом нижнем углу экрана появится соответствующее уведомление.
Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/ Workspaces name).
Подключение Dependency-Track
Подключение Dependency-Track осуществляется на странице администрирования AppSec.Hub, см. раздел «Подключение инструментов разработки ПО». Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.
В раскрывающемся меню поля Tool type открывшегося диалогового окна Create tool выберите пункт sca, а в поле Product — dependency-track.
После выбора этих значений окно Create tool примет следующий вид.
Для подключения укажите в данном окне следующие параметры:
- Задайте имя инструмента в поле Name.
- Укажите URL инструмента Dependency-Track.
- В поле Workspace выберите рабочее пространство (-а), в котором будет использоваться Dependency-Track. Это может быть любое доступное рабочее пространство в AppSec.Hub.
- Для данного инструмента доступен только один способ авторизации — с использованием токена. Введите токен в соответствующее поле.
- Информационное поле Management в правом верхнем углу Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.
- Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).
Нажмите кнопку Connect, чтобы проверить соединение с Dependency-Track.
AppSec.Hub отправит запрос на соединение с инструментом и в правом нижнем углу пользовательского интерфейса отобразится соответствующее уведомление.
Если соединение произошло успешно, нажмите кнопку Create, чтобы подключить инструмент, в противном случае проверьте правильность заполнения всех полей и внесите необходимые изменения.
Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/Workspaces name).
Подключение Trivy
Подключение Trivy осуществляется на странице администрирования AppSec.Hub, см. раздел «Подключение инструментов разработки ПО». Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.
В раскрывающемся меню поля Tool type открывшегося диалогового окна Create tool выберите пункт sca, а в поле Product — trivy.
После выбора этих значений окно Create tool примет следующий вид.
Для подключения укажите в данном окне следующие параметры:
- Задайте имя инструмента в поле Name.
- Укажите URL инструмента Trivy.
- В поле Workspace выберите рабочее пространство (-а), в котором будет использоваться Trivy. Это может быть любое доступное рабочее пространство в AppSec.Hub.
- Для данного инструмента доступно два способа авторизации: Anonymous или Token. Выберите способ авторизации и при необходимости укажите токен в соответствующем поле.
- Информационное поле Management в правом верхнем углу Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.
- Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).
Нажмите кнопку Connect, чтобы проверить соединение с Trivy.
AppSec.Hub отправит запрос на соединение с инструментом и в правом нижнем углу пользовательского интерфейса отобразится соответствующее уведомление.
Если соединение произошло успешно, нажмите кнопку Create, чтобы подключить инструмент, в противном случае проверьте правильность заполнения всех полей и внесите необходимые изменения.
Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/Workspaces name).
Подключение Aqua Security
Подключение Aqua Security осуществляется на странице администрирования AppSec.Hub, см. раздел «Подключение инструментов разработки ПО».
Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.
В появившемся окне Create tool выберите элемент sca из выпадающего меню в поле Tool type и элемент aquasec из выпадающего меню в поле Product.
Если выбраны эти два значения, окно Create tool выглядит следующим образом.
В этом окне определите следующие параметры для подключаемого инструмента Aqua Security:
- Имя инструмента задайте в поле Name.
- В поле URL укажите URL для инструмента Aqua Security.
- В поле Workspace выберите рабочее пространство, которое будет использоваться при работе с Aqua Security. Это может быть любое доступное рабочее пространство в AppSec.Hub.
- В поле Authentication method выберите Login/Password, для работы с Aqua Security это единственная опция.
- Введите Login и Password учетной записи, которая выделена для доступа в данный инструмент.
- Информационное поле Management в правом верхнем углу Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.
- Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).
Нажмите кнопку Connect, чтобы соединиться с Aqua Security.
AppSec.Hub отправит запрос на подключение инструмента Aqua Security. Если соединение было успешным, в правом нижнем углу экрана появится соответствующее уведомление.
Перед подключением к инструменту убедитесь, что селектор в правом верхнем углу окна Create tool находится в положении «включено», и нажмите кнопку Create. В правом нижнем углу экрана появится соответствующее уведомление.
Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/ Workspaces name).
Примечание
При работе с инструментом Aqua Security поддерживаются только Docker-артефакты.
Примечание
Для каждого приложения, у которого хотя бы в одном из пайплайнов присутствует Aqua Security, Appsec.Hub создает в инструменте Aqua Security свой Application Scope с названием app_<application_name> и описанием «Created automatically by hub» в поле Description, что позволяет ограничить доступ к приложению. К Application Scope, созданному в Aqua Security, можно предоставлять доступ для пользователей этого инструмента через использование Roles, привязывание к Roles необходимых Application Scope и назначение созданных Roles для Users в разделе Access Management инструмента Aqua Security. Если пользователи Aqua Security видят только определенный Application Scope, им для начала работы с Application Scope, вновь созданным с помощью Appsec.Hub, необходимо назначить права доступа к этому Application Scope в инструменте Aqua Security.