Перейти к содержанию

Работа в менеджере репозиториев

Примечание

Для выполнения всех нижеописанных действий пользователю не требуется аутентифицироваться в системе AppSec.Track. Под пользователем в данном разделе понимается разработчик, работающий с менеджером репозиториев Nexus Repository Manager или JFrog Artifactory.

После установки AppSec.Track и подключения плагина Track.Plugin к Nexus Repository Manager или JFrog Artifactory работа пользователя в менеджере репозиториев будет проходить под контролем AppSec.Track.

Результат попытки пользователя загрузить компонент из менеджера репозиториев теперь будет зависеть от того, отвечает ли данный компонент установленным в AppSec.Track политикам безопасности.

Если выбранный компонент соответствует заданным в политиках безопасности условиям, он будет успешно загружен.

Если выбранный компонент не удовлетворяет заданным в политиках безопасности условиям, например содержит уязвимости, система заблокирует его загрузку и выдаст соответствующее сообщение вместе с информацией о нарушенных политиках безопасности и обнаруженных уязвимостях и нарушениях, а также рекомендации по выбору безопасной версии компонента.

Внизу страницы с сообщением о блокировке компонента расположены две кнопки: Полный отчет и Запрос разблокировки.

Если при установке Track.Plugin в Nexus Repository Manager был установлен флаг Delete quarantined components (см. раздел «Установка Track.Plugin в Nexus Repository Manager»), после появления страницы 403 Компонент заблокирован и блокировки загрузки из-за нарушения установленных в системе политик, заблокированный компонент будет удален из репозитория. В интерфейсе Nexus Repository Manager это отражается следующим образом:

  1. Выводится сообщение об ошибке HTTP 404 Not Found.
  2. В разделе Summary не отображается ссылка на компонент.
  3. У компонента, который больше нет возможности скачать, отображается значок .

После отключения блокирующих скачивание компонента политик, он снова станет доступен для скачивания и будет отображаться в интерфейсе Nexus Repository Manager.

Полный отчет

При нажатии на кнопку Полный отчет происходит переход на страницу системы Информация о компоненте, содержащей список всех обнаруженных во время проверки компонента уязвимостей и нарушений установленных политик безопасности.

На вкладке Уязвимости нажмите на значок в строке уязвимости, чтобы получить детальную информацию о ней. На экране появится окно с информацией, включая данные о диапазоне версий компонента, в которых встречается эта уязвимость, характеристики и описание уязвимости, рекомендации по устранению и полезные ссылки.

Запрос разблокировки

В разработке ПО встречаются ситуации, когда не существует небезопасной версии компонента, предоставляющего критическую для проекта функциональность, или необходимо выпустить срочный релиз, в котором задействован небезопасный компонент, или руководство проекта просто принимает решение принять связанные с использованием такого компонента риски безопасности.

В таком случае для решения проблемы с заблокированным системой компонентом пользователю необходимо сделать запрос на его разблокировку. Перед принятием подобного решения рекомендуется тщательно изучить детальную информацию о компоненте и содержащихся в нем уязвимостях и оценить их влияние на функциональность разрабатываемого ПО.

Для разблокировки компонента необходимо нажать кнопку Запрос разблокировки.

В появившемся окне запроса на разблокировку компонента необходимо указать имя и адрес электронной почты пользователя, создавшего запрос. Поле Комментарий не является обязательным для заполнения.

Для создания запроса нажмите на кнопку Запросить.

На экране появится сообщение о том, что запрос направлен на рассмотрение.

Уведомления о создании нового запроса на разблокировку отправляются всем пользователям, имеющим права Просмотр раздела с созданными запросами или Редактирование или обработка запроса на разблокировку.

Примечание

Для корректной работы уведомлений необходимо убедиться, что роли Инженер ИБ в системе присвоены права Просмотр исключений, Создание, редактирование исключения и Удаление, отключение исключения (см. раздел «Создание, редактирование и удаление ролей»).

Уведомление о запросе на разблокировку содержит информацию о компоненте и о политиках, которые он нарушает, ссылку на подробный отчет, а также данные об авторе запроса, указанные им в окне запроса на разблокировку (ФИО, email и комментарий), и ссылку на страницу с запросами.

После регистрации запроса пользователю необходимо дождаться, пока в системе не будет разрешено скачивание запрошенного компонента или принято решение о запрете его использования, см. детали в разделе «Разблокировка».

После принятия решения по запросу его автору приходит уведомление на указанный при создании запроса адрес электронной почты, содержащий комментарий и данные сотрудника ИБ, принявшего решение, а также отчет о нарушениях политик.

Работа с использованием CLI

См. разделы «CLI (track-cli)» и «GitLab CI».