Установка Track.Plugin в Nexus Repository Manager

Прежде чем приступить к использованию системы, ее необходимо интегрировать с менеджером репозиториев Nexus Repository Manager/JFrog Artifactory, используя входящий в комплект поставки Track.Plugin.

Примечание

Плагин совместим с Nexus Repository Manager версии 3.20.0 и выше.

1. KAR-файл плагина, входящий в комплект поставки, необходимо скопировать в директорию deploy на сервере с Nexus Repository. Если Nexus Repository развернут внутри контейнера, полный путь к этой директории выглядит так: /opt/sonatype/nexus/deploy. Подробная инструкция по установке плагинов приведена в документации Nexus Repository Manager.

2. После копирования файла плагина откройте в менеджере репозиториев раздел настроек — Settings, выберите в меню слева пункт System › Capabilities и нажмите на кнопку Create capability. В списке появляется новый плагин OSA Firewall Configuration — нажмите на него.

   

3. Откроется окно настроек. Сконфигурируйте параметры плагина.

   • В поле AppSec.Track API endpoint необходимо указать URL AppSec.Track API, например, http://appsec-track.local/api/.

   • Поле AppSec.Track access token предназначено для токена подключения к AppSec.Track, созданного в системе при подключении репозитория.

     Примечание

     В предыдущих версиях до версии 1.2 включительно данная функциональность не использовалась — при подключении репозитория в системе токен не создавался, а AppSec.Track выдавал корректный ответ для любого активного репозитория, см. детали в разделе «Настройки менеджеров репозиториев/репозиториев».

     

   Также на странице OSA Firewall Configuration можно задать следующие настройки:

   • Do not validate SSL certificates — не проверять SSL-сертификаты при подключении к AppSec.Track API. Эту опцию не следует использовать в рабочем режиме, так как она не является безопасной.
   • Raise error when asset is not provided (for debug purposes only) — в текущей версии данная настройка не используется.
   • Quarantine mode — включить/отключить режим карантина (блокировку загрузки при нарушении политик).
   • Is fail on API errors — при включении данной опции система не будет работать при ошибках API. Опция позволяет включить/отключить режим блокировки загрузки любого компонента при недоступности AppSec.Track.
   • Ignore proxy settings — данная опция позволяет игнорировать установки прокси.

   После завершения конфигурирования параметров OSA Firewall Configuration нажмите кнопку Save.

4. После активации плагина любое обращение к компонентам в Nexus Repository будет сопровождаться проверкой со стороны AppSec.Track. Дополнительно необходимо активировать проверку данного менеджера репозиториев в AppSec.Track:

   • загрузите какой-нибудь пакет через Nexus Repository (например: http://адрес_вашего_nexus_репозитория/repository/pypi-proxy/packages/requests/2.14.0/requests-2.14.0-py2.py3-none-any.whl);

   • в AppSec.Track выберите пункт меню Репозитории, выберите ваш менеджер репозиториев, активируйте его с помощью селектора Активен, выберите значение Активен в поле Статус новых репозиториев на вкладке Настройки и нажмите кнопку Сохранить внизу вкладки. Более подробная информация приведена в разделе «Настройки менеджеров репозиториев/репозиториев».

     

5. Для проверки корректности подключения репозитория и настройки плагина, вы можете загрузить через Nexus Repository еще какой-нибудь пакет (например: http://адрес_вашего_nexus_репозитория/repository/pypi-proxy/packages/cryptography/0.1/cryptography-0.1.tar.gz). История запросов к AppSec.Track отображается в системе в разделе «История запросов».

   Примечание

   Лог плагина записывается в файл nexus-data/log/nexus.log.

   Включение в логе уровня DEBUG производится в пользовательском интерфейсе менеджера репозиториев в разделе настроек Settings через пункт меню Support › Logging.

   Укажите необходимый уровень логирования для пакета, например, com.swordfishsecurity.sca.plugins.nexus = DEBUG.