Изменения в AppSec.Hub в четвертом квартале 2022 года — главное

Команда Swordfish Security в 4-ом квартале 2022 года представила новые релизы (2.1.2 и 2.1.3) DevSecOps-платформы AppSec.Hub. Изменения коснулись функциональности продукта, пользовательского интерфейса, а также работы с интегрированными инструментами — рассказываем подробнее об улучшениях. 

Функциональность платформы

Структурные юниты — теперь у каждого из них есть свой уникальный код для использования при внешней интеграции с AppSec.Hub. В процессе создания юнита пользователь может придумать идентификатор и ввести его в командную строку. Если пропустить этот шаг, система автоматически на базе unit name сгенерирует код. Также обновленный функционал платформы позволяет удалять неактуальные юниты. Оставшиеся элементы можно назначать на используемый исходный код, артефакт или инстанс. Со стороны исходного кода также есть возможность вносить подобные изменения — связывать любые объекты (core, backend, frontend, UI) с одним или несколькими юнитами. 

Новый тип артефакта, а именно File, действует на платформе начиная с версии 2.1.2. и относится к нетипизированному файловому хранилищу. Компоненты в таком формате теперь можно сканировать так же, как и другие артефакты, результаты анализа будут отображаться на вкладке Scans. 

Командные интерфейсы в последних двух версиях продукта при запуске сканирования позволяют через параметр Application name указывать полное имя приложения — эта функция улучшает работу онбординга. В блок, касающийся юнитов, мы добавили возможность идентифицировать их через код. С помощью параметра unit name просто вводить полные имена юнитов. Также в командных интерфейсах появился модуль скана инстанса, который позволяет запускать анализ развернутого приложения на необходимом стенде и тем самым активировать практику DAST. 

Работа с инструментами

В блоке PT Application Inspector мы провели интеграцию с новой версией сканера — 4.1.1. Также наша команда исправила ошибку, из-за которой ранее при импорте результатов из инструмента отображался обрезанный поток данных. 

На стенд OWASP Dependency-Track мы добавили возможность клонирования последней версии проекта, что позволяет при копировании сохранять все настройки, описания, теги. Следующее изменение касается подготовки данных для запуска cdxgen — это утилита, формирующая SBOM, или спецификацию материалов ПО, которая в дальнейшем отправляется в инструмент для анализа. Чтобы улучшить качество создаваемых SBOM, мы подготовили новые скрипты для исходного кода на Python, C# и NodeJS. 

В настройках Checkmarx корневые команды теперь отображаются с учетом той иерархии, которая сформирована в Checkmarx. Это правило также сохраняется, когда, например, мы добавляем сканер в пайплайн какого-либо приложения. 

Пользовательский интерфейс

Здесь было довольно много точечных изменений:

  • Появилась возможность фильтрации приложений по дереву организационной структуры компании. Например, пользователь может выбрать команду, и система покажет ему только те программный продукты, с которыми она работает; 
  • В блоке, где производится фильтрация уязвимостей, мы переработали панель, добавили возможности выбирать типы ошибок и распределять уязвимости по их идентификатору (CVE или GHSA). Фильтрация происходит по вхождению, то есть пользователь может ввести неполный идентификатор и запросить у системы, например, все уязвимости, относящиеся к 2022 году;
  • На странице с уязвимостями все детали теперь доступны сразу — они отображаются в развернутом виде, а при выборе одной или нескольких ошибок отмеченные строки выделяются цветом;
  • В истории сканов появилась возможность перезапускать любые проверки с теми же параметрами;
  • В метриках исправлена ошибка, возникавшая ранее при сортировке данных;
  • Также мы улучшили навигационную цепочку на всех страницах платформы. Например, если пользователь откроет прямую ссылку на уязвимость, в верхней части окна он увидит, в рамках какого приложения была найдена ошибка, сможет перейти к деталям продукта, вернуться к списку уязвимостей и так далее;
  • И еще одно новшество — информация о развернутой версии AppSec.Hub «переехала» в нижнюю часть страницы.