Перейти к содержанию

Что такое AppSec.Track

Назначение

AppSec.Track (система) — инструмент, реализующий практики OSA и SCA и предоставляющий сервис по предотвращению атак на цепочку поставок ПО через компоненты с открытым исходным кодом.

Модуль OSA осуществляет проверку компонентов с открытым исходным кодом на этапе загрузки в контур безопасной разработки. При нарушении политик безопасности разработчик получает сообщение об ошибке с описанием проблемы и рекомендациями по выбору безопасной версии, а загрузка компонентов, не отвечающих установленным в системе политикам безопасности, блокируется.

Модуль SCA осуществляет проверку компонентов с открытым исходным кодом в рамках пайплайнов сборки и доставки приложения. При нарушении установленных в системе политик безопасности происходит блокировка пайплайна, а также отправка уведомлений командам разработки и безопасности.

Состав

Система состоит из следующих частей:

  • AppSec.Track — приложение, состоящее из нескольких модулей, разворачиваемых локально, а также базу данных приложения.
  • Track.Plugin — плагин, подключаемый к менеджеру репозиториев Nexus Repository Manager или JFrog Artifactory.
  • Track.Feed — облачное хранилище, содержащее информацию об уязвимостях, атрибутах компонентов и лицензиях.
  • AppSec.Track CLI — утилита, позволяющая осуществлять генерацию и анализ файла SBOM, представленного в формате CycloneDX.
  • OSA Firewall — внешний прокси-шлюз для практики OSA, который реализует логику перехвата запросов на загрузку пакетов в отдельном сервисе.