Перейти к содержанию

Информация о компоненте

Страница информации о компоненте содержит детальную информацию о компоненте репозитория или приложения, его версиях, нарушениях установленных политик безопасности, обнаруженных во время проверки компонента уязвимостях, распространяющихся на компонент исключениях, запросах на его разблокировку.

Страница информации о компоненте репозитория содержит следующую информацию о репозитории:

  • PURL.
  • Формат.
  • Менеджер репозитория.
  • Репозиторий.

Примечание

Если компонент репозитория не нарушает блокирующих политик, он доступен для скачивания на странице информации о компоненте по нажатию на ссылку в поле Репозиторий в верхней части страницы. Попытка скачивания компонента, нарушающего блокирующую политику, приведет к переходу на страницу Ошибка 403. Компонент заблокирован (см. раздел «Работа в менеджере репозиториев»).

Страница информации о компоненте приложения содержит следующую информацию о репозитории:

  • PURL.
  • Формат.
  • Имя приложения.
  • Группа.

Примечание

Начиная с версии 3.12.0, доступ к странице с детальной информации о компоненте приложения зависит от значения переменной anonymousInfo в конфигурационном файле application.yml. Если эта переменная отсутствует или имеет значение true, страница доступна для вех пользователей, а при установленном значении false она будет доступна только тем пользователям, у которых есть права доступа VIEW_INFO для данного приложения.

Список версий содержит сведения о доступных версиях компонента. Строка выбранной версии подсвечивается. В колонке Блокировка указывается, загрузка каких версий компонента блокируется существующими в системе политиками. В колонках Уязвимости, Свойства и Лицензия цветом, соответствующим в системе цвету уровня критичности нарушенной политики, выделяется причина блокировки. В колонке Запросы указывается количество запросов на разблокировку компонента.

Если существует версия компонента, не нарушающая установленных политик, она будет показана в поле Рекомендуемая версия, а также выделена зеленым цветом в списке версий. В противном случае в поле Рекомендуемая версия будет проставлен прочерк.

В правой части страницы с информацией о компоненте находятся вкладки Информация о версии, Нарушение политик, Уязвимости, Исключения и Запросы на разблокировку. Выше данных вкладок расположена кнопка Разблокировать для создания нового запроса разблокировки.

На вкладке Информация о версии приводятся дополнительные сведения о выбранной версии, включая ссылку на текст лицензии компонента. Если компонент имеет категорию Public, она будет не указана.

На вкладке Нарушение политик представлена информация о нарушениях политик безопасности для версии, выбранной в списке версий, включая название каждой нарушенной политики и список нарушающих ее уязвимостей, свойств и лицензий.

Уровень критичности нарушенной политики выделяется соответствующим цветом слева в строке с названием политики в списке нарушений политик. Также для каждого нарушения в списке указывается имя компонента, в котором найдено нарушение.

Нажмите на значок «» в конце строки политики или нарушающей эту политику уязвимости или значения, чтобы добавить исключение для этого элемента (см. раздел «Добавление исключения на странице информации о компоненте»).

На вкладке Уязвимости представлена информация обо всех обнаруженных уязвимостях в версии, выбранной в списке версий, включая уязвимости, нарушающие политики.

Нажмите на значок в конце строки уязвимости в списке уязвимостей, чтобы получить детальную информацию об обнаруженной уязвимости, с которой также можно ознакомиться с помощью пункта меню «Поиск уязвимостей», включая описание, обнаружение, объяснение, рекомендации по устранению и полезные ссылки.

На вкладке Исключения представлена информация обо всех распространяющихся на компонент исключениях.

На вкладке Запросы на разблокировку представлена информация обо всех запросах на разблокировку компонента. Запросы на вкладке можно отфильтровать по их статусу с помощью выпадающего списка Показывать, содержащего пункты Все, Новые, Одобрены, Отклонены и Неактуальные.

Чтобы узнать больше о запросе, нажмите на кнопку Подробнее в конце строки запроса. На экране появится окно с детальной информацией о запросе.

Добавление исключения на странице информации о компоненте

Добавить исключения на странице информации о компоненте можно в списке версий или на вкладке Нарушение политик. В списке версий в исключения можно добавить версию компонента. На вкладке Нарушение политик в исключения можно добавить политику или срабатывание на нарушающую эту политику уязвимость или значение.

Нажмите на значок в конце строки версии, политики или уязвимости, чтобы добавить исключение для этого элемента.

В появившемся окне необходимо задать параметры создаваемого исключения.

При создании исключения для версии компонента репозитория должны быть заданы следующие параметры:

  • Уровень применения (Глобальный, Менеджер репозиториев, Репозиторий).
  • Дата окончания – указывается для всех уровней применения. Исключение можно сделать бессрочным, то есть не имеющим даты окончания его действия, если оставить поле Дата окончания пустым.
  • Менеджер репозиториев – указывается только для уровней Менеджер репозиториев и Репозиторий.
  • Репозиторий – указывается только для уровня Репозиторий.
  • Распространить на версии – в этом поле можно выбрать из списка версий компонента неограниченное количество версий, на которые будет распространяться создаваемое исключение. С помощью флага Выбрать все можно выбрать сразу все существующие версии компонента.
  • Комментарий можно добавить в соответствующем поле.

При создании исключения для версии компонента приложения должны быть заданы следующие параметры:

  • Уровень применения (Глобальный, Команды, Приложения).
  • Дата окончания — указывается для всех уровней. Исключение можно сделать бессрочным, то есть не имеющим даты окончания его действия, если оставить поле Дата окончания пустым.
  • Команда — указывается только для уровней Команды и Приложения.
  • Приложение — указывается только для уровня Приложения.
  • Распространить на версии — в этом поле можно выбрать из списка версий компонента неограниченное количество версий, на которые будет распространяться создаваемое исключение. С помощью флага Выбрать все можно выбрать сразу все существующие версии компонента.
  • Комментарий можно добавить в соответствующем поле.

После заполнения всех полей нажмите на кнопку Добавить. Информация о вновь созданном исключении появится на вкладке Исключения на странице информации о компоненте и на вкладке Исключения на странице репозитория/приложения.

При создании исключения для политики должен быть задан такой же набор параметров.

При создании исключения для срабатываний политик на уязвимости или значения дополнительно определяется параметр Добавить в исключение. Он может быть задан как Значение (в исключения добавляется только одно конкретное значение, попадающее под условия, заданные в политике) или как Правило (в исключения добавляется правило, то есть все значения, попадающие под условия, заданные в политике).

Создание задач в Jira

Начиная с версии 3.17.0, в системе существует возможность создавать в Jira задачи, относящиеся к текущей версии компонента.

Примечание

Для создания задач в Jira необходимо предварительно настроить интеграцию с Jira.

Для создания задачи в Jira нажмите на кнопку Задачи в Jira.

Примечание

Для создания задач в Jira пользователь должен иметь права CREATE_TASK_JIRA, см. раздел «Пользователи и роли». В случае отсутствия прав, кнопка Задачи в Jira не будет отображаться на странице информации о компоненте.

В появившемся окне Задачи в Jira на вкладке Новая задача можно заполнить поля создаваемой задачи.

Примечание

Поля создаваемой задачи будут предзаполнены значениями, заданными при настройке соответствия полей задач проекта в Jira и полей в AppSec.Track.

Заполнение значений в окне Задачи в Jira имеет ряд особенностей:

  • В этом окне в поля нельзя вводить множественные значения. Например, если ввести в поле Метки два значения, разделенные запятой, то все введенные в поле символы будут переданы в Jira как одно значение (как одна метка, содержащая в середине запятую).

    Примечание

    Задать несколько значений в поле Метки можно в процессе предзаполенения на этапе настройки соответствия полей в Jira и полей в AppSec.Track.

  • Пробелы в поле Метки недопустимы, в случае их наличия система выдаст сообщение об ошибке.

  • В полях Компоненты и Приоритет можно выбрать значения из выпадающих списков.
  • В поле Epic link можно ввести идентификатор задачи, которая является эпиком в Jira.
  • В поле Sprint можно ввести идентификатор открытого или будущего спринта в Jira.
  • В поле Исполнитель можно ввести логин одного из пользователей Jira.
  • Если не были заполнены все обязательные поля, кнопка Создать на вкладке Новая задача будет недоступна.

После заполнения полей задачи нажмите на кнопку Создать.

Все ранее созданные задачи отображаются в окне Задачи в Jira на вкладке Созданные задачи. Для каждой задачи приведены ссылка на задачу и ее статус в Jira. Если ранее не было создано ни одной задачи, вкладка Созданные задачи будет отсутствовать.