Новый механизм формирования политик в CodeScoring – почему это важно
Политики – это инструмент в системе CodeScoring, который позволяет выделять важные события безопасности и контролировать работу с Open Source компонентами.
Политики можно настроить для любого этапа цикла разработки анализируемых продуктов. Например для раннего предупреждения о проблемах (стадия source) или для всех сборок конечного продукта (стадия prod). Наиболее важный принцип работы политик – это гибкость. Команда CodeScoring регулярно дополняет перечень критериев, из которого формируются готовые политики.
Возможность создания политик для отдельных этапов цикла разработки и гибкость настройки позволяют выстроить максимально удобную систему работы с безопасностью приложений. Таким образом AppSec-специалисты не отвлекаются на лишние срабатывания, а разработчиков не замедляют проверки безопасности.
До версии 2024.28.0 логическое объединение критериев было единым на всю политику. Для реализации сложных схем требовалось создавать несколько отдельных политик.
В новой версии мы реализовали подход, который позволяет настроить политики с помощью нескольких логических выражений и объединять критерии с разной комбинацией параметров.
Приведем примеры конфигураций, который позволяют задать правила одной политикой:
Блокировка уязвимостей в директивных зависимостях при соответствии дефектам из OWASP Top Ten
Создание собственного списка нежелательных компонентов
Определение уязвимостей с высоким рейтингом угрозы и уязвимостей со средним рейтингом, но низкой сложностью атаки
Комбинирование условий для разных лицензий
Условия в политиках соединяются между собой логическими выражениями И/ИЛИ. Наборы условий можно объединить в группы с неограниченной степенью вложенности. Подробнее о настройке нового механизма можно прочитать в документации CodeScoring.