Вкладка безопасности
Страница Безопасность используется для просмотра и обработки уязвимостей, найденных анализаторами безопасности проекта. Отчеты можно сформировать в конвейере или загрузить вручную.
Для работы со страницей безопасности требуется роль, в которой предусмотрено право Управление уязвимостями. Данное право по умолчанию есть у стандартной роли Администратор.
Поддерживаемые типы отчетов
На странице безопасности поддерживаются следующие типы отчетов:
| Тип отчета | Описание | Формат |
|---|---|---|
| SAST | Результаты статического анализа безопасности исходного кода | SARIF |
| DAST | Результаты динамического анализа безопасности приложения | SARIF |
| SCA | Результаты анализа состава программного обеспечения и используемых компонентов | CycloneDX |
Подробнее о подготовке отчетов и подключении анализаторов рассказано в статьях SAST, DAST и SCA.
Загрузка отчетов
Отчеты можно добавить на страницу безопасности автоматически из конвейера или вручную.
Загрузка из конвейера
Анализатор безопасности запускается в задаче конвейера и формирует отчет поддерживаемого формата. После завершения задачи отчет передается в GitFlic и отображается на странице безопасности проекта.
Для отчетов используются следующие форматы:
- SAST — SARIF;
- DAST — SARIF;
- SCA — CycloneDX.
Конфигурация и запуск анализатора выполняются на мощностях, используемых агентом CI/CD. Анализатор и сценарий его запуска необходимо выбрать и настроить для проекта самостоятельно.
Ручная загрузка
Подготовленный отчет можно загрузить без запуска анализатора в конвейере.
Для ручной загрузки отчета требуется:
- Открыть раздел управления отчетами на странице безопасности.
- Перейти к добавлению отчета.
- Загрузить подготовленный файл.
- Указать тип отчета.
- Выбрать ветку, к которой относится отчет.
- Завершить загрузку.
При ручной загрузке снапшот связывается с последним коммитом выбранной рабочей ветки.
Снапшоты отчетов
Отчеты объединяются в снапшоты. Снапшот фиксирует результаты анализа для конкретного состояния проекта.
Для отчета, сформированного в конвейере, снапшот содержит ссылку на конвейер, в котором был получен отчет. На странице конвейера доступна ссылка на коммит, определяющий состояние репозитория на момент сканирования.
Таким образом, цепочка связей имеет следующий вид:
Снапшот отчета → конвейер → коммит
Снапшоты можно различать по названию, которое формируется из даты создания и названия ветки или тега, для которых был запущен конвейер.
При ручной загрузке снапшот создается для последнего коммита выбранной рабочей ветки.
Работа с уязвимостями
После загрузки отчета найденные уязвимости отображаются в соответствующем разделе страницы безопасности.
Каждая новая уязвимость по умолчанию получает статус Требует внимания.
Статус можно изменить:
- в списке уязвимостей;
- на странице отдельной уязвимости;
- одновременно для нескольких записей.
Для массового изменения статуса требуется отметить нужные уязвимости и выбрать новый статус в поле над списком.
Если в новом отчете обнаружена уязвимость, идентичная уязвимости из предыдущего отчета, для нее применяется статус, установленный при предыдущем обнаружении.
Просмотр и фильтрация уязвимостей
На странице безопасности доступны фильтры по важности и статусу уязвимостей. Набор дополнительных фильтров зависит от типа анализатора и содержимого загруженного отчета.
Для уязвимостей SAST и DAST предусмотрены следующие уровни важности:
- критические;
- недопустимые;
- нежелательные;
- информационные;
- неопределенные.
На странице отдельной уязвимости отображается доступная информация из отчета. В зависимости от типа анализатора она может включать:
- файл, в котором обнаружена уязвимость;
- коммит;
- строку файла;
- описание и дополнительные сведения анализатора.
Требует внимания при обновлении
Если вы ранее использовали данный раздел в проекте для работы с отчетами, то перенести архивную информацию не удастся, при обновлении данные не сохранятся. Проведите новое сканирование, чтобы наполнить раздел информацией