Перейти к содержанию

Вкладка безопасности

Страница Безопасность используется для просмотра и обработки уязвимостей, найденных анализаторами безопасности проекта. Отчеты можно сформировать в конвейере или загрузить вручную.

Для работы со страницей безопасности требуется роль, в которой предусмотрено право Управление уязвимостями. Данное право по умолчанию есть у стандартной роли Администратор.

Поддерживаемые типы отчетов

На странице безопасности поддерживаются следующие типы отчетов:

Тип отчета Описание Формат
SAST Результаты статического анализа безопасности исходного кода SARIF
DAST Результаты динамического анализа безопасности приложения SARIF
SCA Результаты анализа состава программного обеспечения и используемых компонентов CycloneDX

Подробнее о подготовке отчетов и подключении анализаторов рассказано в статьях SAST, DAST и SCA.

Загрузка отчетов

Отчеты можно добавить на страницу безопасности автоматически из конвейера или вручную.

Загрузка из конвейера

Анализатор безопасности запускается в задаче конвейера и формирует отчет поддерживаемого формата. После завершения задачи отчет передается в GitFlic и отображается на странице безопасности проекта.

Для отчетов используются следующие форматы:

  • SAST — SARIF;
  • DAST — SARIF;
  • SCA — CycloneDX.

Конфигурация и запуск анализатора выполняются на мощностях, используемых агентом CI/CD. Анализатор и сценарий его запуска необходимо выбрать и настроить для проекта самостоятельно.

Ручная загрузка

Подготовленный отчет можно загрузить без запуска анализатора в конвейере.

Для ручной загрузки отчета требуется:

  1. Открыть раздел управления отчетами на странице безопасности.
  2. Перейти к добавлению отчета.
  3. Загрузить подготовленный файл.
  4. Указать тип отчета.
  5. Выбрать ветку, к которой относится отчет.
  6. Завершить загрузку.

При ручной загрузке снапшот связывается с последним коммитом выбранной рабочей ветки.

Снапшоты отчетов

Отчеты объединяются в снапшоты. Снапшот фиксирует результаты анализа для конкретного состояния проекта.

Для отчета, сформированного в конвейере, снапшот содержит ссылку на конвейер, в котором был получен отчет. На странице конвейера доступна ссылка на коммит, определяющий состояние репозитория на момент сканирования.

Таким образом, цепочка связей имеет следующий вид:

Снапшот отчета → конвейер → коммит

Снапшоты можно различать по названию, которое формируется из даты создания и названия ветки или тега, для которых был запущен конвейер.

При ручной загрузке снапшот создается для последнего коммита выбранной рабочей ветки.

Работа с уязвимостями

После загрузки отчета найденные уязвимости отображаются в соответствующем разделе страницы безопасности.

Каждая новая уязвимость по умолчанию получает статус Требует внимания.

Статус можно изменить:

  • в списке уязвимостей;
  • на странице отдельной уязвимости;
  • одновременно для нескольких записей.

Для массового изменения статуса требуется отметить нужные уязвимости и выбрать новый статус в поле над списком.

Если в новом отчете обнаружена уязвимость, идентичная уязвимости из предыдущего отчета, для нее применяется статус, установленный при предыдущем обнаружении.

Просмотр и фильтрация уязвимостей

На странице безопасности доступны фильтры по важности и статусу уязвимостей. Набор дополнительных фильтров зависит от типа анализатора и содержимого загруженного отчета.

Для уязвимостей SAST и DAST предусмотрены следующие уровни важности:

  • критические;
  • недопустимые;
  • нежелательные;
  • информационные;
  • неопределенные.

На странице отдельной уязвимости отображается доступная информация из отчета. В зависимости от типа анализатора она может включать:

  • файл, в котором обнаружена уязвимость;
  • коммит;
  • строку файла;
  • описание и дополнительные сведения анализатора.

Требует внимания при обновлении

Если вы ранее использовали данный раздел в проекте для работы с отчетами, то перенести архивную информацию не удастся, при обновлении данные не сохранятся. Проведите новое сканирование, чтобы наполнить раздел информацией