Перейти к содержанию

Подключение инструментов AST

Примечание

Для выполнения нижеописанных действий требуется роль Администратора.

SAST

Подключение Solar appScreener

Подключение Solar appScreener осуществляется на странице администрирования AppSec.Hub, см. раздел «Подключение инструментов разработки ПО».

Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.

В раскрывающемся меню поля Tool type открывшегося диалогового окна Create tool выберите пункт sast, а в поле Productappscreener.

После выбора этих значений окно Create tool примет следующий вид.

Для подключения укажите в данном окне следующие параметры:

  • Задайте имя инструмента в поле Name.
  • Укажите URL инструмента Solar appScreener.
  • В поле Workspaces выберите рабочее пространство (-а), в котором будет использоваться Solar appScreener. Это может быть любое доступное рабочее пространство в AppSec.Hub.

  • Для данного инструмента доступен только один способ авторизации — с использованием токена. Введите токен в соответствующее поле.

    Примечание

    Токен в инструменте appScreener создается в профиле пользователя. Процесс создания токена описан в «Руководстве пользователя» инструмента appScreener в описании профиля пользователя в подразделе по работе с токенами. Данное руководство доступно в формате PDF по ссылке.

    При создании токена в инструменте у пользователя в профиле на вкладке Настраиваемые права должны быть установлены права Создавать новые проекты и Загружать приложения с локального компьютера или из репозитория. Это обеспечит токену необходимые для работы права.

  • Информационное поле Management в правом верхнем углу окна Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.

  • Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).

Нажмите кнопку Connect, чтобы проверить соединение с Solar appScreener.

AppSec.Hub отправит запрос на соединение с инструментом и в правом нижнем углу пользовательского интерфейса отобразится соответствующее уведомление.

Если соединение произошло успешно, нажмите кнопку Create, чтобы подключить инструмент, в противном случае проверьте правильность заполнения всех полей и внесите необходимые изменения.

Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/Workspaces name).

Примечание

В настоящее время Solar appScreener поддерживает сканирование кодовых баз только на языке Java.

Особенности интеграции

Данный SAST-инструмент может добавляться только в пайплайны для сканирования кодовых баз.

При добавлении инструмента осуществляется выбор языка (-ов) приложения, см. «Security Pipeline исходного кода».

Примечание

Если в приложении используется несколько языков, они указываются через запятую из следующего списка: JAVA, PHP, CS, JAVASCRIPT, TYPESCRIPT, VBSCRIPT, HTML5, PYTHON, CCPP, OBJC, SWIFT, PLSQL, TSQL, ABAP, ONES, APEX, GO, RUBY, GROOVY, DELPHI, VBA, VB, SOLIDITY и COBOL. Если оставить поле пустым, сканируются все языки, используемые в приложении.

Кроме этого, при подключении инструмента можно указать директории кодовой базы, которые будут исключаться при сканировании, например test*.

При запуске сканирования из AppSec.Hub в Solar AppScreener создается новый проект со стандартными настройками.

Соответствие уровней серьезности уязвимостей в инструментах

Шкала уровней серьезности уязвимостей в Solar appScreener не совпадает со шкалой уровней серьезности проблем безопасности в AppSec.Hub. При импорте проблем безопасности из Solar appScreener в AppSec.Hub уровни серьезности мапируются в соответствии с приведенной ниже таблицей.

Уровень серьезности в appScreener Уровень серьезности в AppSec.Hub
Критический Critical
Средний High
Низкий Medium
Информационный Low

Сопоставление статусов проблем безопасности

Статус в appScreener Статус в AppSec.Hub
Не обработано To verify
Подтверждено Confirmed
Отклонено False Postitive

Подключение SonarQube

Подключение SonarQube осуществляется на странице администрирования AppSec.Hub, см. раздел «Подключение инструментов разработки ПО».

Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.

В раскрывающемся меню поля Tool type открывшегося диалогового окна Create tool выберите пункт sast, а в поле Productsonarqube.

После выбора этих значений окно Create tool примет следующий вид.

Для подключения укажите в данном окне следующие параметры:

  • Задайте имя инструмента в поле Name.
  • Укажите URL инструмента SonarQube.
  • В поле Workspaces выберите рабочее пространство (-а), в котором будет использоваться SonarQube. Это может быть любое доступное рабочее пространство в AppSec.Hub.

  • Для данного инструмента доступны два способа авторизации — с использованием логина/пароля или с использованием токена. Выберите в поле Auth method предпочтительный способ авторизации и укажите необходимые для него параметры.

    Примечание

    Токен в инструменте SonarQube необходимо создать в профиле пользователя с правами администратора. Процесс создания токена в инструменте SonarQube описан в документации инструмента.

    Управление токенами и права доступа также описаны в соответствующем разделе документации инструмента.

  • Информационное поле Management в правом верхнем углу окна Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.

  • Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).

Нажмите кнопку Connect, чтобы проверить соединение с SonarQube.

AppSec.Hub отправит запрос на соединение с инструментом и в правом нижнем углу пользовательского интерфейса отобразится соответствующее уведомление.

Если соединение произошло успешно, нажмите кнопку Create, чтобы подключить инструмент, в противном случае проверьте правильность заполнения всех полей и внесите необходимые изменения.

Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/Workspaces name).

Особенности интеграции

Данный SAST-инструмент может добавляться только в пайплайны для сканирования кодовых баз.

Соответствие уровней серьезности уязвимостей в инструментах

Шкала уровней серьезности уязвимостей в SonarQube не совпадает со шкалой уровней серьезности проблем безопасности в AppSec.Hub. При импорте проблем безопасности из SonarQube в AppSec.Hub уровни серьезности мапируются в соответствии с приведенной ниже таблицей.

Уровень серьезности в SonarQube Уровень серьезности в AppSec.Hub
Blocker Critical
Critical High
Major Medium
Low Low
Info Low

Сопоставление статусов проблем безопасности

В зависимости от статуса в SonarQube, статус проблемы безопасности в AppSec.Hub определяется в соответствии с приведенной ниже таблицей.

Статус в SonarQube SonarQube Resolution Статус в AppSec.Hub
Open To verify
Confirmed Confirmed
Resolved False Postitive False Postitive
Resolved Won't Fix Accepted Risk
Reopened Confirmed
Resolved Fixed Fixed
Closed Fixed Fixed
Closed Removed Fixed

Подключение Checkmarx

Подключение Checkmarx осуществляется на странице администрирования AppSec.Hub, см. раздел «Подключение инструментов разработки ПО».

Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.

В появившемся окне Create tool выберите элемент sast из выпадающего меню в поле Tool type и элемент checkmarx из выпадающего меню в поле Product.

Если выбраны эти два значения, окно Create tool выглядит следующим образом.

В этом окне определите следующие параметры для подключаемого инструмента Checkmarx:

  • Имя инструмента задайте в поле Name.
  • В поле URL укажите URL для инструмента Checkmarx.
  • В поле Workspaces выберите рабочее пространство, которое будет использоваться при работе с Checkmarx. Это может быть любое доступное рабочее пространство в AppSec.Hub.
  • В поле Authentication method выберите Login/password, для работы с Checkmarx это единственная опция.
  • Введите Login и Password учетной записи, которая выделена для доступа в данный инструмент. При необходимости перед именем пользователя через «/» указывается имя домена.
  • Информационное поле Management в правом верхнем углу окна Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.
  • Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).

Нажмите кнопку Connect, чтобы соединиться с Checkmarx.

AppSec.Hub отправит запрос на подключение инструмента Checkmarx. Если соединение было успешным, в правом нижнем углу экрана появится соответствующее уведомление.

Перед подключением к инструменту убедитесь, что селектор в правом верхнем углу окна Create tool находится в положении «включено», и нажмите кнопку Create. В правом нижнем углу экрана появится соответствующее уведомление.

Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/ Workspaces name).

Подключение Application Inspector

Подключение Application Inspector осуществляется на странице администрирования AppSec.Hub, см. раздел «Подключение инструментов разработки ПО». Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.

В раскрывающемся меню поля Tool type открывшегося диалогового окна Create tool выберите пункт sast, а в поле Productappinspector.

После выбора этих значений окно Create tool примет следующий вид.

Для подключения укажите в данном окне следующие параметры:

  • Задайте имя инструмента в поле Name.
  • Укажите URL инструмента Application Inspector.
  • В поле Workspaces выберите рабочее пространство (-а), в котором будет использоваться Application Inspector. Это может быть любое доступное рабочее пространство в AppSec.Hub.

  • Для данного инструмента доступен только один способ авторизации — с использованием токена. Введите токен в соответствующее поле.

    Примечание

    Процесс создания токена описан в документации инструмента Application Inspector в разделе «Создание токена доступа».

    При создании токена в инструменте должен быть установлено разрешение Для легкого агента и плагинов CI/CD. Это обеспечит токену необходимые для работы права.

  • Информационное поле Management в правом верхнем углу окна Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.

  • Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).

Нажмите кнопку Connect, чтобы проверить соединение с Application Inspector.

AppSec.Hub отправит запрос на соединение с инструментом и в правом нижнем углу пользовательского интерфейса отобразится соответствующее уведомление.

Если соединение произошло успешно, нажмите кнопку Create, чтобы подключить инструмент, в противном случае проверьте правильность заполнения всех полей и внесите необходимые изменения.

Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/Workspaces name).

Особенности интеграции

Данный SAST-инструмент может добавляться только в пайплайны для тестирования кодовых баз.

При добавлении инструмента осуществляется выбор языка программирования, см. «Security Pipeline исходного кода».

Примечание

Для Java также можно выбрать версию JDK.

При запуске сканирования из AppSec.Hub во внешнем инструменте создается новый проект с настройками, которые автоматически выбираются AppSec.Hub. В проекте по умолчанию будут включены следующие опции: модули Поиск уязвимостей исходного кода, Анализ потока данных (этот модуль включен только для языков программирования Java, C#, Visual Basic, PHP, JavaScript. Включение этого модуля для прочих языков, таких как Phyton, Objective-C, Swift, C/C++, Go, Kotlin, SQL приведет к ошибке сканирования), Поиск по шаблонам, Поиск уязвимостей конфигурации, а также параметры Использование доступных public и protected методов и Загрузка зависимостей. Описание модулей и параметров приведено в документации разработчика продукта в разделах «Создание проекта сканирования» и «Настройка параметров сканирования».

Перед проведением повторных сканирований опции проекта могут быть включены или выключены в инструменте сканирования. При запуске повторного сканирования из AppSec.Hub будут использоваться измененные в инструменте PT AI значения опций.

В случае, если какой-либо из параметров проекта, задаваемый в AppSec.Hub, например, язык программирования или версия JDK, будет изменен, все опции проекта во внешнем инструменте будут вновь приведены к значениям, устанавливаемым по умолчанию в AppSec.Hub.

Также значения параметров, устанавливаемые по умолчанию в AppSec.Hub, будут применены в случае, если при запуске сканирования проект с указанным именем не будет найден в PT AI.

Соответствие уровней серьезности уязвимостей в инструментах

Шкала уровней серьезности уязвимостей в инструменте PT AI не совпадает со шкалой уровней серьезности проблем безопасности в AppSec.Hub. При импорте проблем безопасности из PT AI в AppSec.Hub уровни серьезности мапируются в соответствии с приведенной ниже таблицей.

Уровень серьезности в PT AI Уровень серьезности в AppSec.Hub
High High
Medium Medium
Low Low
Potential Low

Сопоставление статусов проблем безопасности

Статус уязвимости в инструменте PT AI определяется следующим образом: уязвимость может быть «подтверждена» (IsApproved), «опровергнута» (IsDiscarded) или находиться «без статуса».

Примечание

В PT AI Enterprise Edition предусмотрена возможность подавления отображения отдельных проблем безопасности в результатах сканирования путем добавления комментария ptai:suppress в исходный код приложения — такие уязвимости в PT AI имеют статус «исключена» (IsSuppressed) и загружаются в AppSec.Hub как False Positive, см. также раздел «Присвоение проблеме безопасности статуса False Positive».

В зависимости от статуса в PT AI, статус проблемы безопасности в AppSec.Hub определяется в соответствии с приведенной ниже таблицей.

Статус в PT AI Статус в AppSec.Hub
Без статуса To verify
Опровергнута Accepted risk
Подтверждена Confirmed
Исключена False Positive

DAST

Подключение Netsparker

Подключение Netsparker осуществляется на странице администрирования AppSec.Hub, см. см. раздел «Подключение инструментов разработки ПО».

Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.

В появившемся окне Create tool выберите элемент dast из выпадающего меню в поле Tool type и элемент netsparker из выпадающего меню в поле Product.

Если выбраны эти два значения, окно Create tool выглядит следующим образом.

В этом окне определите следующие параметры для подключаемого инструмента Netsparker:

  • Имя инструмента задайте в поле Name.
  • В поле URL укажите URL для инструмента Netsparker.
  • В поле Workspaces выберите рабочее пространство, которое будет использоваться при работе с Netsparker. Это может быть любое доступное рабочее пространство в AppSec.Hub.
  • В поле Authentication method выберите User ID/Token.
  • User ID и Token учетной записи, которая выделена для доступа в данный инструмент.
  • Информационное поле Management в правом верхнем углу окна Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.
  • Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).

Нажмите кнопку Connect, чтобы соединиться с Netsparker.

AppSec.Hub отправит запрос на подключение инструмента Netsparker. Если соединение было успешным, в правом нижнем углу экрана появится соответствующее уведомление.

Перед подключением к инструменту убедитесь, что селектор в правом верхнем углу окна Create tool находится в положении «включено», и нажмите кнопку Create. В правом нижнем углу экрана появится соответствующее уведомление.

Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/ Workspaces name).

Особенности интеграции

Соответствие уровней серьезности уязвимостей в инструментах

Шкала уровней серьезности уязвимостей в Netsparker совпадает со шкалой уровней серьезности проблем безопасности в AppSec.Hub, см. табл. ниже.

Уровень серьезности в Netsparker Уровень серьезности в AppSec.Hub
Critical Critical
High High
Medium Medium
Low Low

Сопоставление статусов проблем безопасности

В зависимости от статуса в Netsparker, статус проблемы безопасности в AppSec.Hub определяется в соответствии с приведенной ниже таблицей.

Статус в Netsparker Статус в AppSec.Hub
Present To verify
Accepted risk Accepted risk
False Positive False Positive
Fixed (Unconfirmed) Fixed
Fixed (Confirmed) Fixed

Подключение Acunetix

Подключение Acunetix осуществляется на странице администрирования AppSec.Hub, см. раздел «Подключение инструментов разработки ПО». Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.

В раскрывающемся меню поля Tool type открывшегося диалогового окна Create tool выберите пункт dast, а в поле Productacunetix.

После выбора этих значений окно Create tool примет следующий вид.

Для подключения укажите в данном окне следующие параметры:

  • Задайте имя инструмента в поле Name.
  • Укажите URL инструмента Acunetix.
  • В поле Workspaces выберите рабочее пространство (-а), в котором будет использоваться Acunetix. Это может быть любое доступное рабочее пространство в AppSec.Hub.
  • Для данного инструмента доступен только один способ авторизации — с использованием токена. Введите токен в соответствующее поле.
  • Информационное поле Management в правом верхнем углу окна Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.
  • Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).

Нажмите кнопку Connect, чтобы проверить соединение с Acunetix.

AppSec.Hub отправит запрос на соединение с инструментом и в правом нижнем углу пользовательского интерфейса отобразится соответствующее уведомление.

Если соединение произошло успешно, нажмите кнопку Create, чтобы подключить инструмент, в противном случае проверьте правильность заполнения всех полей и внесите необходимые изменения.

Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/Workspaces name).

Особенности интеграции

В настоящее время поддерживается только совместная работа Acunetix с Jenkins.

Соответствие уровней серьезности уязвимостей в инструментах

Шкала уровней серьезности уязвимостей в инструменте Acunetix не совпадает со шкалой уровней серьезности проблем безопасности в AppSec.Hub. При импорте проблем безопасности из Acunetix в AppSec.Hub уровни серьезности мапируются в соответствии с приведенной ниже таблицей.

Уровень серьезности в Acunetix Уровень серьезности в AppSec.Hub
High (confidence ≥95%) Critical
High (confidence < 95%) High
Medium Medium
Low Low
Information Low

Сопоставление статусов проблем безопасности

В зависимости от статуса в Acunetix, статус проблемы безопасности в AppSec.Hub определяется в соответствии с приведенной ниже таблицей.

Статус в Acunetix Статус в AppSec.Hub
Open To verify
Ignored Accepted risk
False Positive False Positive
Fixed Fixed
Rediscovered Confirmed

Подключение BlackBox

Подключение BlackBox осуществляется на странице администрирования AppSec.Hub, см. раздел «Подключение инструментов разработки ПО». Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.

В раскрывающемся меню поля Tool type открывшегося диалогового окна Create tool выберите пункт dast, а в поле Productblackbox.

После выбора этих значений окно Create tool примет следующий вид.

Для подключения укажите в данном окне следующие параметры:

  • Задайте имя инструмента в поле Name.
  • Укажите URL инструмента BlackBox.
  • В поле Workspaces выберите рабочее пространство (-а), в котором будет использоваться BlackBox. Это может быть любое доступное рабочее пространство в AppSec.Hub.

  • Для данного инструмента доступен только один способ авторизации — с использованием токена. Введите токен в соответствующее поле.

    Примечание

    Работа с токенами в инструменте BlackBox описана в документации инструмента.

  • Информационное поле Management в правом верхнем углу окна Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.

  • Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).

    Примечание

    Значение в поле Group может быть задано только при редактировании уже подключенного инструмента BlackBox, при подключении это поле не заполняется.

Нажмите кнопку Connect, чтобы проверить соединение с BlackBox.

AppSec.Hub отправит запрос на соединение с инструментом и в правом нижнем углу пользовательского интерфейса отобразится соответствующее уведомление.

Если соединение произошло успешно, нажмите кнопку Create, чтобы подключить инструмент, в противном случае проверьте правильность заполнения всех полей и внесите необходимые изменения.

Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/Workspaces name).

Особенности интеграции

Инструмент PT BlackBox предназначен для DAST-сканирования сайтов (инстансов, или экземпляров приложений в терминах AppSec.Hub).

AppSec.Hub не содержит настроек для интеграции с PT BB для версий PT BB ниже 2.5.

Начиная с версии 2.5, в инструменте PT BB сканирование должно производиться в группе.

Примечание

Для запуска сканирования в PT BB у пользователя должна быть роль Модератор в группе, в которой будет производиться сканирование.

При редактировании подключенного к AppSec.Hub инструмента PT BB группу можно выбрать в поле Group из выпадающего списка. В данный список входят те группы, к которым пользователь имеет доступ в PT BB. Выберите группу и нажмите кнопку Update.

Выбранная группа будет использоваться для всех пайплайнов, у которых в конфигурации инструмента PT BB не указана группа. Это относится ко всем ранее созданным конфигурациям, в которых не требовалось указывать группу.

Эта же группа будет использоваться по умолчанию при добавлении инструмента PT BB в пайплайн (см. раздел «Security Pipeline экземпляра приложения»).

В поле Group можно выбрать любую из доступных пользователю групп из выпадающего списка.

Заданная таким образом группа будет наследоваться в дочерние пайплайны при создании пайплайнов по шаблону, если она будет указана в шаблоне.

Кроме настроек работы с группами, следует учитывать следующую особенность работы с PT BB. В AppSec.Hub для сканирования инстанса существует возможность задать реквизиты пользователя в поле Credentials (см. раздел «Создание/конфигурирование экземпляра приложения»). При интеграции с PT BB эти данные не используются. Если для сканирования сайта требуется авторизация, ее необходимо задать в инструменте PT BB в настройках сайта в разделе Авторизация с помощью Настройки профиля авторизации.

При запуске из AppSec.Hub, если в PT BB для сканируемого сайта авторизация еще не задана, сканирование будет выполняться без авторизации. После настройки авторизации в инструменте PT BB, запущенные из AppSec.Hub сканирования будут осуществляться уже с указанной авторизацией.

Соответствие уровней серьезности уязвимостей в инструментах

Шкала уровней серьезности уязвимостей в инструменте PT BB не совпадает со шкалой уровней серьезности проблем безопасности в AppSec.Hub. При импорте проблем безопасности из PT BB в AppSec.Hub уровни серьезности мапируются в соответствии с приведенной ниже таблицей.

Уровень серьезности в PT BB Уровень серьезности в AppSec.Hub
High High
Medium Medium
Low Low
Info Low

Сопоставление статусов проблем безопасности

При импорте в AppSec.Hub все уязвимости из инструмента PT BB получают статус To verify. Дальнейшее управление статусами уязвимостей можно осуществлять в AppSec.Hub.

Примечание

При импорте уязвимостей из инструмента PT BB информация о кодах ответа из раздела Техническая информация не загружается в AppSec.Hub.

Подключение OWASP ZAP

OWASP ZAP для AppSec.Hub является отдельным сервисом, который можно запустить и сконфигурировать отдельно от AppSec.Hub. Подробное описание приведено в разделе «Установка и запуск ZAP».

Подключение OWASP ZAP осуществляется на странице администрирования AppSec.Hub, см. раздел «Подключение инструментов разработки ПО». Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.

В раскрывающемся меню поля Tool type открывшегося диалогового окна Create tool выберите пункт dast, а в поле Productzap.

После выбора этих значений окно Create tool примет следующий вид.

Для подключения укажите в данном окне следующие параметры:

  • Задайте имя инструмента в поле Name.
  • Укажите URL инструмента OWASP ZAP.
  • В поле Workspaces выберите рабочее пространство (-а), в котором будет использоваться OWASP ZAP. Это может быть любое доступное рабочее пространство в AppSec.Hub.

  • Для данного инструмента доступен только один способ авторизации — с использованием токена. Введите токен в соответствующее поле.

    Примечание

    При подключении необходимо указать токен, используемый при развертывании сервиса OWASP ZAP. Он задается как параметр в конфигурации сервиса.

  • Информационное поле Management в правом верхнем углу окна Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.

  • Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).

Нажмите кнопку Connect, чтобы проверить соединение с OWASP ZAP.

AppSec.Hub отправит запрос на соединение с инструментом и в правом нижнем углу пользовательского интерфейса отобразится соответствующее уведомление.

Если соединение произошло успешно, нажмите кнопку Create, чтобы подключить инструмент, в противном случае проверьте правильность заполнения всех полей и внесите необходимые изменения.

Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/Workspaces name).

Особенности интеграции

Данный инструмент используется для DAST-сканирования сайтов (инстансов, или экземпляров приложений в терминах AppSec.Hub).

При добавлении OWASP ZAP в качестве сканирующего инструмента в пайплайн необходимо в окне конфигурации указать следующие параметры:

  • Session settings — настройки аутентификации (секция authentication) и сессии (секция sessionManagement), задаваемые пользователем и представленные в виде конфигурационного yaml-файла. Они относятся к конфигурации инструмента OWASP ZAP (см. документацию инструмента).

    Если для сканирования сайта требуется авторизация, ее необходимо задать в конфигурационном yaml-файле в секции authentication.

    В AppSec.Hub для сканирования инстанса (сайта) существует возможность задать реквизиты пользователя в поле Credentials (см. раздел «Создание/конфигурирование экземпляра приложения»). При настройке OWASP ZAP эти данные используются следующим образом: они выгружаются в раздел users конфигурационного yaml-файла инструмента OWASP ZAP. Кроме того, они могут быть использованы в качестве значений параметров %username% и %password% в секции authentication задающего настройки сессии yaml-скрипта (см. пример ниже).

    Пример

    Пример задающего настройки сессии yaml-скрипта, который можно ввести в поле Session settings:

    authentication:
    method: "form"
    parameters:
        loginRequestBody: "username={%username%}&password={%password%}"
        loginPageUrl: "http://localhost:8080/#/login"
        loginRequestUrl: "http://localhost:8080/hub/rest/auth/login"
    verification:
        method: "response"
        pollFrequency: 60
        pollUnits: "requests"
        pollUrl: ""
        pollPostData: ""
sessionManagement:
    method: "cookie"
    parameters: {}

  • Excluded URL’s — все адреса, которые будут пропущены при сканированиях.

  • Scan modes — типы сканирования инструмента OWASP ZAP. В этом поле должен быть выбран хотя бы один тип сканирования. Также можно выбрать не одно, а несколько значений.
  • Enter swagger URL — это поле появляется в случае, когда в поле Scan modes было выбрано значение Open API. В этом поле необходимо указать путь к документации Open API сканируемого сайта (экземпляра приложения).

Соответствие уровней серьезности уязвимостей в инструментах

Шкала уровней серьезности уязвимостей в OWASP ZAP совпадает со шкалой уровней серьезности проблем безопасности в AppSec.Hub, см. таблицу ниже.

Уровень серьезности в OWASP ZAP Уровень серьезности в AppSec.Hub
High High
Medium Medium
Low Low

Сопоставление статусов проблем безопасности

При импорте в AppSec.Hub все уязвимости из инструмента OWASP ZAP получают статус To verify. Дальнейшее управление статусами уязвимостей можно осуществлять в AppSec.Hub.

SCA

Подключение Clair

Подключение Clair осуществляется на странице администрирования AppSec.Hub, см. см. раздел «Подключение инструментов разработки ПО».

Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.

В появившемся окне Create tool выберите элемент sca из выпадающего меню в поле Tool type и элемент clair из выпадающего меню в поле Product.

Если выбраны эти два значения, окно Create tool выглядит следующим образом.

В этом окне определите следующие параметры для подключаемого инструмента Clair:

  • Имя инструмента задайте в поле Name.
  • В поле URL укажите URL для инструмента Clair.
  • В поле Workspaces выберите рабочее пространство, которое будет использоваться при работе с Clair. Это может быть любое доступное рабочее пространство в AppSec.Hub.
  • В поле Authentication method выберите Anonymous.
  • Информационное поле Management в правом верхнем углу окна Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.
  • Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).

Нажмите кнопку Connect, чтобы соединиться с Clair.

AppSec.Hub отправит запрос на подключение инструмента Clair. Если соединение было успешным, в правом нижнем углу экрана появится соответствующее уведомление.

Перед подключением к инструменту убедитесь, что селектор в правом верхнем углу окна Create tool находится в положении «включено», и нажмите кнопку Create. В правом нижнем углу экрана появится соответствующее уведомление.

Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/ Workspaces name).

Особенности интеграции

Данный инструмент используется только для сканирования Docker-артефактов.

Соответствие уровней серьезности уязвимостей в инструментах

Шкала уровней серьезности уязвимостей в Clair совпадает со шкалой уровней серьезности проблем безопасности в AppSec.Hub, см. табл. ниже.

Уровень серьезности в Clair Уровень серьезности в AppSec.Hub
Critical Critical
High High
Medium Medium
Low Low

Сопоставление статусов проблем безопасности

Все уязвимости из Clair импортируются в AppSec.Hub со статусом To verify. Дальнейшее управление статусами осуществляется в AppSec.Hub.

Подключение Dependency-Track

Подключение Dependency-Track осуществляется на странице администрирования AppSec.Hub, см. раздел «Подключение инструментов разработки ПО». Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.

В раскрывающемся меню поля Tool type открывшегося диалогового окна Create tool выберите пункт sca, а в поле Productdependency-track.

После выбора этих значений окно Create tool примет следующий вид.

Для подключения укажите в данном окне следующие параметры:

  • Задайте имя инструмента в поле Name.
  • Укажите URL инструмента Dependency-Track.
  • В поле Workspaces выберите рабочее пространство (-а), в котором будет использоваться Dependency-Track. Это может быть любое доступное рабочее пространство в AppSec.Hub.

  • Для данного инструмента доступен только один способ авторизации — с использованием токена. Введите токен в соответствующее поле.

    Примечание

    Создание токена в инструменте Dependency-Track описано в документации инструмента.

    В инструменте Dependency-Track должен быть создан токен для команды, у которой есть следующий набор прав в поле Permissions: BOM_UPLOAD, PROJECT_CREATION_UPLOAD, PORTFOLIO_MANAGEMENT, VIEW_PORTFOLIO, VIEW_VULNERABILITY, VIEW_POLICY_VIOLATION. Это обеспечит токену необходимые для работы права.

  • Информационное поле Management в правом верхнем углу окна Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.

  • Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).

Нажмите кнопку Connect, чтобы проверить соединение с Dependency-Track.

AppSec.Hub отправит запрос на соединение с инструментом и в правом нижнем углу пользовательского интерфейса отобразится соответствующее уведомление.

Если соединение произошло успешно, нажмите кнопку Create, чтобы подключить инструмент, в противном случае проверьте правильность заполнения всех полей и внесите необходимые изменения.

Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/Workspaces name).

Особенности интеграции

Dependency-Track является SCA-инструментом и может быть добавлен как в пайплайны для тестирования кодовых баз, так и в пайплайны для тестирования всех поддерживаемых в системе типов артефактов (см. раздел «Артефакты»).

AppSec.Hub не содержит настроек для интеграции с Dependency-Track при добавлении инструмента. При этом существуют особенности интеграции, которые следует учитывать при работе с данным инструментом.

При первом запуске сканирования из AppSec.Hub в инструменте Dependency-Track создается новый проект. Номер, автоматически присваиваемый сканированию в AppSec.Hub, используется как версия проекта в Dependency-Track. Таким образом, для каждого сканирования в AppSec.Hub будет создана новая версия проекта в Dependency-Track.

При создании проекта в Dependency-Track параметру Classifier присваивается значение Application. Исключением является сканирование Docker-артефактов — в этом случае параметр Classifier получает значение Container.

При запуске повторного сканирования из AppSec.Hub в Dependency-Track производится поиск уже существующего проекта с таким же именем без учета версии. В случае, если такой проект был найден, производится добавление версии проекта путем клонирования найденной версии проекта с включенными параметрами Include tags, Include properties, Include components, Include services, Include audit history и Include access control list, что позволяет сохранить настройки проекта, установленные в инструменте Dependency-Track перед проведением повторного сканирования. Если проекта с заданным в сканировании именем обнаружить в Dependency-Track не удалось, происходит создание нового проекта. Во всех случаях в качестве версии проекта используется номер сканирования в AppSec.Hub.

Dependency-Track позволяет обнаруживать как SCA Security-уязвимости, так и SCA Compliance-уязвимости (в терминах AppSec.Hub). В самом инструменте сканирования SCA Security-уязвимости — это Audit vulnerabilities, а SCA Compliance-уязвимости — это Policy violations.

Соответствие уровней серьезности уязвимостей в инструментах

Шкалы уровней серьезности как для SCA Security, так и для SCA Compliance уязвимостей в инструменте Dependency-Track не совпадают со шкалой уровней серьезности проблем безопасности в AppSec.Hub. При импорте проблем безопасности из Dependency-Track в AppSec.Hub уровни серьезности SCA Security-уязвимостей (поле Severity в инструменте) и SCA Compliance-уязвимостей (поле Violation State в инструменте) мапируются в соответствии с двумя приведенными ниже таблицами.

Для SCA Security-уязвимостей:

Уровень серьезности в Dependency-Track Уровень серьезности в AppSec.Hub
Critical Critical
High High
Medium Medium
Low Low
Unassigned Low

Для SCA Compliance-уязвимостей:

Уровень серьезности в Dependency-Track Уровень серьезности в AppSec.Hub
Fail Critical
Warn Medium
Inform Low

Сопоставление статусов проблем безопасности

В зависимости от статуса в Dependency-Track, статусы SCA Security-уязвимостей (поле Analysis в инструменте) и SCA Compliance-уязвимостей (поле Analysis в инструменте) в AppSec.Hub определяются в соответствии с приведенными ниже таблицами.

Для SCA Security-уязвимостей:

Статус в Dependency-Track Статус в AppSec.Hub
Статус не указан To verify
Not Set To verify
Exploitable Confirmed
In Triage Confirmed
Resolved Fixed
False Positive False Positive
Not Affected Accepted risk

Для SCA Compliance-уязвимостей:

Статус в Dependency-Track Статус в AppSec.Hub
Статус не указан To verify
Not Set To verify
Approved Confirmed
Rejected Accepted risk

Примечание

Для SCA Compliance-уязвимостей значение поля Policy Name в инструменте задает тип категории проблемы безопасности (поле Category) в AppSec.Hub.

Для SCA Security-уязвимостей тип категории проблемы безопасности в AppSec.Hub не импортируется — в поле Category в AppSec.Hub указывается значение N/A.

Подключение Trivy

Подключение Trivy осуществляется на странице администрирования AppSec.Hub, см. раздел «Подключение инструментов разработки ПО». Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.

В раскрывающемся меню поля Tool type открывшегося диалогового окна Create tool выберите пункт sca, а в поле Producttrivy.

После выбора этих значений окно Create tool примет следующий вид.

Для подключения укажите в данном окне следующие параметры:

  • Задайте имя инструмента в поле Name.
  • Укажите URL инструмента Trivy.
  • В поле Workspaces выберите рабочее пространство (-а), в котором будет использоваться Trivy. Это может быть любое доступное рабочее пространство в AppSec.Hub.

  • Для данного инструмента доступно два способа авторизации: Anonymous или Token. Выберите способ авторизации и при необходимости укажите токен в соответствующем поле.

    Примечание

    Параметры токена в инструменте Trivy описаны в документации инструмента.

    В инструменте Trivy токен задается при запуске сервиса Trivy. Для успешной интеграции имя заголовка авторизации token-header в инструменте Trivy должно быть задано как Trivy-Token.

  • Информационное поле Management в правом верхнем углу окна Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.

  • Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).

Нажмите кнопку Connect, чтобы проверить соединение с Trivy.

AppSec.Hub отправит запрос на соединение с инструментом и в правом нижнем углу пользовательского интерфейса отобразится соответствующее уведомление.

Если соединение произошло успешно, нажмите кнопку Create, чтобы подключить инструмент, в противном случае проверьте правильность заполнения всех полей и внесите необходимые изменения.

Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/Workspaces name).

Особенности интеграции

Данный инструмент используется только для сканирования Docker-артефактов.

Соответствие уровней серьезности уязвимостей в инструментах

Шкала уровней серьезности уязвимостей в Trivy совпадает со шкалой уровней серьезности проблем безопасности в AppSec.Hub, см. табл. ниже.

Уровень серьезности в Trivy Уровень серьезности в AppSec.Hub
Critical Critical
High High
Medium Medium
Low Low

Сопоставление статусов проблем безопасности

Все уязвимости из Trivy импортируются в AppSec.Hub со статусом To verify. Дальнейшее управление статусами осуществляется в AppSec.Hub.

Подключение Aqua Security

Подключение Aqua Security осуществляется на странице администрирования AppSec.Hub, см. раздел «Подключение инструментов разработки ПО».

Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.

В появившемся окне Create tool выберите элемент sca из выпадающего меню в поле Tool type и элемент aquasec из выпадающего меню в поле Product.

Если выбраны эти два значения, окно Create tool выглядит следующим образом.

В этом окне определите следующие параметры для подключаемого инструмента Aqua Security:

  • Имя инструмента задайте в поле Name.
  • В поле URL укажите URL для инструмента Aqua Security.
  • В поле Workspaces выберите рабочее пространство, которое будет использоваться при работе с Aqua Security. Это может быть любое доступное рабочее пространство в AppSec.Hub.

  • В поле Authentication method выберите Login/Password, для работы с Aqua Security это единственная опция.

    Примечание

    Для успешной интеграции необходимо, чтобы у пользователя в инструменте Aqua Security была роль администратора, предоставляющая в инструменте права доступа Full Permission.

  • Введите Login и Password учетной записи, которая выделена для доступа в данный инструмент.

  • Информационное поле Management в правом верхнем углу окна Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.
  • Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).

Нажмите кнопку Connect, чтобы соединиться с Aqua Security.

AppSec.Hub отправит запрос на подключение инструмента Aqua Security. Если соединение было успешным, в правом нижнем углу экрана появится соответствующее уведомление.

Перед подключением к инструменту убедитесь, что селектор в правом верхнем углу окна Create tool находится в положении «включено», и нажмите кнопку Create. В правом нижнем углу экрана появится соответствующее уведомление.

Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/ Workspaces name).

Особенности интеграции

Данный SCA-инструмент используется только для сканирования Docker-артефактов.

Для каждого приложения, у которого хотя бы в одном из пайплайнов присутствует Aqua Security, Appsec.Hub создает в инструменте Aqua Security свой Application Scope с названием app_<application_name> и описанием «Created automatically by hub» в поле Description, что позволяет ограничить доступ к приложению. К Application Scope, созданному в Aqua Security, можно предоставлять доступ для пользователей этого инструмента через использование Roles, привязывание к Roles необходимых Application Scope и назначение созданных Roles для Users в разделе Access Management инструмента Aqua Security. Если пользователи Aqua Security видят только определенный Application Scope, им для начала работы с Application Scope, вновь созданным с помощью Appsec.Hub, необходимо назначить права доступа к этому Application Scope в инструменте Aqua Security.

Для каждого пайплайна в инструменте Aqua Security создается Image Registry. Имя Image Registry состоит из имени приложения в Appsec.Hub и названия пайплайна в Appsec.Hub, которое совпадает с именем артефакта.

Соответствие уровней серьезности уязвимостей в инструментах

Шкала уровней серьезности уязвимостей в инструменте Aqua Security не совпадает со шкалой уровней серьезности проблем безопасности в AppSec.Hub. При импорте проблем безопасности из Aqua Security в AppSec.Hub уровни серьезности мапируются в соответствии с приведенной ниже таблицей.

Уровень серьезности в Aqua Security Уровень серьезности в AppSec.Hub
Critical Critical
High High
Medium Medium
Low Low
Negligible Low
Unknown Low
No Risk Уязвимости с данным статусом игнорируются при загрузке в AppSec.Hub

Сопоставление статусов проблем безопасности

Уязвимость в инструменте Aqua Security может быть или не подтверждена (Acknowledge), или подтверждена (Acknowledged).

В зависимости от статуса в Aqua Security, статус проблемы безопасности в AppSec.Hub определяется в соответствии с приведенной ниже таблицей.

Статус в Aqua Security Статус в AppSec.Hub
Acknowledge To verify
Acknowledged Accepted risk

Подключение CodeScoring

Подключение CodeScoring осуществляется на странице администрирования AppSec.Hub, см. раздел «Подключение инструментов разработки ПО». Выберите в меню пункт Tools и нажмите кнопку +Add new в правом верхнем углу.

В раскрывающемся меню поля Tool type открывшегося диалогового окна Create tool выберите пункт sca, а в поле Productcode-scoring.

После выбора этих значений окно Create tool примет следующий вид.

Для подключения укажите в данном окне следующие параметры:

  • Задайте имя инструмента в поле Name.
  • Укажите URL инструмента CodeScoring.
  • В поле Workspaces выберите рабочее пространство (-а), в котором будет использоваться CodeScoring. Это может быть любое доступное рабочее пространство в AppSec.Hub.

  • Для данного инструмента доступен только один способ авторизации — с использованием токена. Введите токен в соответствующее поле.

    Примечание

    Для интеграции необходимо использовать API token из профиля пользователя User profile в инструменте CodeScoring (см. документацию инструмента).

    У пользователя в инструменте CodeScoring должны быть права администратора. Это обеспечит токену необходимые для работы права.

  • Информационное поле Management в правом верхнем углу окна Create tool предназначено для отображения информации о категориях используемых учетных записей. На данный момент функциональность в полной мере не реализована.

  • Кроме этого, можно задать для инструмента псевдоним домена. В разделе Aliases выберите соответствующий протокол и при необходимости отредактируйте доменное имя (см. раздел «Использование алиасов»).

Нажмите кнопку Connect, чтобы проверить соединение с CodeScoring.

AppSec.Hub отправит запрос на соединение с инструментом и в правом нижнем углу пользовательского интерфейса отобразится соответствующее уведомление.

Если соединение произошло успешно, нажмите кнопку Create, чтобы подключить инструмент, в противном случае проверьте правильность заполнения всех полей и внесите необходимые изменения.

Карточка вновь подключенного инструмента отобразится на странице инструментов (Tools), а также на странице соответствующего рабочего пространства (Workspaces/Workspaces name).

Особенности интеграции

Данный SCA-инструмент используется для сканирования кодовых баз и Docker-артефактов.

AppSec.Hub не содержит настроек для интеграции с CodeScoring при добавлении инструмента. При этом существуют особенности интеграции, которые следует учитывать при работе с данным инструментом.

Имя проекта в инструменте CodeScoring состоит из двух частей – имени проекта и имени пайплайна в AppSec.Hub.

После проведенного сканирования в AppSec.Hub импортируются только те уязвимости, которые отображаются в разделе Policy alerts как результат срабатывания политик, установленных в инструменте CodeScoring для проекта на момент проведения сканирования.

Соответствие уровней серьезности уязвимостей в инструментах

Уровень серьезности уязвимости в CodeScoring для AppSec.Hub определяется по значению параметра CVSS 3, а если оно не определено, то по параметру CVSS 2. Шкала уровней серьезности уязвимостей в CodeScoring совпадает со шкалой уровней серьезности проблем безопасности в AppSec.Hub, см. таблицу ниже.

Уровень серьезности в CodeScoring Уровень серьезности в AppSec.Hub
Critical Critical
High High
Medium Medium
Low Low

Сопоставление статусов проблем безопасности

При импорте в AppSec.Hub все уязвимости из инструмента CodeScoring получают статус To verify. Дальнейшее управление статусами уязвимостей можно осуществлять в AppSec.Hub.

К началу