Установка Track.Plugin в Nexus Repository Manager

Прежде чем приступить к использованию системы, ее необходимо интегрировать с менеджером репозиториев Nexus Repository Manager/JFrog Artifactory, используя входящий в комплект поставки Track.Plugin.

1. Создайте новый менеджер репозиториев в AppSec.Track (см. раздел «Добавление менеджера репозиториев».) и сгенерируйте токен подключения плагина. Он потребуется на шаге 3.

2. Необходимо загрузить KAR-файл плагина, входящий в комплект поставки, и скопировать в директорию deploy на сервере с Nexus Repository. Если Nexus Repository развернут внутри контейнера, полный путь к этой директории выглядит так: /opt/sonatype/nexus/deploy. Подробная инструкция по установке плагинов приведена в документации Nexus Repository Manager.

3. После копирования файла плагина откройте в Nexys раздел настроек — Settings, выберите в меню слева пункт System › Capabilities и нажмите на кнопку Create capability. В списке появляется новый плагин OSA Firewall Configuration — нажмите на него.

   

4. Откроется окно настроек. Сконфигурируйте параметры плагина.

   • В поле Track API endpoint необходимо указать URL, на котором развернут и доступен AppSec.Track API, например, http://appsec-track.local/api/.

   • Поле Track access token предназначено для токена подключения к AppSec.Track. Для одного инстанса менеджера репозиториев Nexus Repository используется один токен подключения.

     

   Также на странице OSA Firewall Configuration можно задать следующие настройки:

   • Do not validate SSL certificates — не проверять SSL-сертификаты при подключении к AppSec.Track API. Эту опцию не следует использовать в рабочем режиме, так как она не является безопасной.
   • Quarantine mode — включить/отключить режим карантина (блокировку загрузки при нарушении политик). При отключенной опции проверка будет работать в режиме аудита, т.к. будет выполняться анализ пакетов, но блокироваться они не будут. Опция должна быть включена в целевой картине использования продукта.
   • Is fail on API errors — при включении данной опции система не будет работать при ошибках API. Опция позволяет включить/отключить режим блокировки загрузки любого компонента при недоступности AppSec.Track.
   • Ignore proxy settings — данная опция позволяет игнорировать настройки HTTP/HTTPS прокси-сервера, используемого в Nexus для отправки исходящих запросов (раздел System › HTTP).
   • Delete quarantined components (с версии 3.19.0) — данная настройка позволяет удалять компонент после попытки пользователя его загрузить, закончившейся блокировкой загрузки из-за нарушения установленных в системе политик и появлением страницы 403 Компонент заблокирован (см. раздел «Работа в менеджере репозиториев»).

   После завершения конфигурирования параметров OSA Firewall Configuration нажмите кнопку Save.

5. После активации плагина любое обращение к компонентам в Nexus Repository будет сопровождаться проверкой со стороны AppSec.Track. Дополнительно необходимо активировать проверку данного менеджера репозиториев в AppSec.Track:

   • загрузите какой-нибудь пакет через Nexus Repository (например: http://адрес_вашего_nexus_репозитория/repository/pypi-proxy/packages/requests/2.14.0/requests-2.14.0-py2.py3-none-any.whl);

   • в AppSec.Track выберите пункт меню Репозитории, выберите ваш менеджер репозиториев, активируйте его с помощью селектора Активен, выберите значение Активен в поле Статус новых репозиториев на вкладке Настройки и нажмите кнопку Сохранить внизу вкладки. Более подробная информация приведена в разделе «Настройки менеджеров репозиториев/репозиториев».

     

6. Для проверки корректности подключения репозитория и настройки плагина, вы можете загрузить через Nexus Repository еще какой-нибудь пакет (например: http://адрес_вашего_nexus_репозитория/repository/pypi-proxy/packages/cryptography/0.1/cryptography-0.1.tar.gz). История запросов к AppSec.Track отображается в системе в разделе «История запросов».

   Примечание

   Лог плагина записывается в файл nexus-data/log/nexus.log.

   Включение в логе уровня DEBUG производится в пользовательском интерфейсе менеджера репозиториев в разделе настроек Settings через пункт меню Support › Logging.

   Укажите необходимый уровень логирования для пакета, например, com.swordfishsecurity.sca.plugins.nexus = DEBUG.