Установка Track.Plugin в Nexus Repository Manager

Прежде чем приступить к использованию системы, ее необходимо интегрировать с менеджером репозиториев Nexus Repository Manager/JFrog Artifactory, используя входящий в комплект поставки Track.Plugin.

1. Создайте новый менеджер репозиториев в AppSec.Track (см. раздел «Добавление менеджера репозиториев».) и сгенерируйте токен подключения плагина. Он потребуется на шаге 3.

2. Необходимо загрузить KAR-файл плагина, входящий в комплект поставки, и скопировать в директорию deploy на сервере с Nexus Repository. Если Nexus Repository развернут внутри контейнера, полный путь к этой директории выглядит так: /opt/sonatype/nexus/deploy. Подробная инструкция по установке плагинов приведена в документации Nexus Repository Manager.

3. После копирования файла плагина откройте в Nexys раздел настроек — Settings, выберите в меню слева пункт System › Capabilities и нажмите на кнопку Create capability. В списке появляется новый плагин OSA Firewall Configuration — нажмите на него.

   

4. Откроется окно настроек. Сконфигурируйте параметры плагина.

   • В поле Track API endpoint необходимо указать URL, на котором развернут и доступен AppSec.Track API, например, http://appsec-track.local/api/.

   • Поле Track access token предназначено для токена подключения к AppSec.Track. Для одного инстанса менеджера репозиториев Nexus Repository используется один токен подключения.

     

   Также на странице OSA Firewall Configuration можно задать следующие настройки:

   • Do not validate SSL certificates — не проверять SSL-сертификаты при подключении к AppSec.Track API. Эту опцию не следует использовать в рабочем режиме, так как она не является безопасной.
   • Quarantine mode — включить/отключить режим карантина (блокировку загрузки при нарушении политик). При отключенной опции проверка будет работать в режиме аудита, т.к. будет выполняться анализ пакетов, но блокироваться они не будут. Опция должна быть включена в целевой картине использования продукта.
   • Is fail on API errors — при включении данной опции система не будет работать при ошибках API. Опция позволяет включить/отключить режим блокировки загрузки любого компонента при недоступности AppSec.Track.
   • Ignore proxy settings — данная опция позволяет игнорировать настройки HTTP/HTTPS прокси-сервера, используемого в Nexus для отправки исходящих запросов (раздел System › HTTP).
   • Delete quarantined components (с версии 3.19.0) — данная настройка позволяет удалять компонент после попытки пользователя его загрузить, закончившейся блокировкой загрузки из-за нарушения установленных в системе политик и появлением страницы 403 Компонент заблокирован (см. раздел «Работа в менеджере репозиториев»). Если не удается проверить SBOM, то компонент тоже будет удален. Также не имеет значения, загружается ли образ из сети интернет или из внутреннего хранилища.

   После завершения конфигурирования параметров OSA Firewall Configuration нажмите на кнопку Save.

5. После активации плагина любое обращение к компонентам в Nexus Repository будет сопровождаться проверкой со стороны AppSec.Track. Дополнительно необходимо активировать проверку данного менеджера репозиториев в AppSec.Track:

   • загрузите какой-нибудь пакет через Nexus Repository (например: http://адрес_вашего_nexus_репозитория/repository/pypi-proxy/packages/requests/2.14.0/requests-2.14.0-py2.py3-none-any.whl);

   • в AppSec.Track выберите пункт меню Репозитории, выберите ваш менеджер репозиториев, активируйте его с помощью селектора Активен, выберите значение Активен в поле Статус новых репозиториев на вкладке Настройки и нажмите кнопку Сохранить внизу вкладки. Более подробная информация приведена в разделе «Настройки менеджеров репозиториев/репозиториев».

     

6. Для проверки корректности подключения репозитория и настройки плагина, вы можете загрузить через Nexus Repository еще какой-нибудь пакет (например: http://адрес_вашего_nexus_репозитория/repository/pypi-proxy/packages/cryptography/0.1/cryptography-0.1.tar.gz). История запросов к AppSec.Track отображается в системе в разделе «История запросов».

   Примечание

   Лог плагина записывается в файл nexus-data/log/nexus.log.

   Включение в логе уровня DEBUG производится в пользовательском интерфейсе менеджера репозиториев в разделе настроек Settings через пункт меню Support › Logging.

   Укажите необходимый уровень логирования для пакета, например, global.appsec.sca.plugins.nexus = DEBUG.