ASoC et Jira Cloud

HCL AppScan l'intégration pour JIRA Cloud facilite la création automatique ou ad hoc de tickets Jira pour les problèmes de sécurité identifiés par AppScan on Cloud.

Il s'agit d'une intégration unidirectionnelle : une fois les tickets créés dans Jira Cloud, les modifications supplémentaires apportées aux problèmes dans AppScan on Cloud ne sont pas synchronisées automatiquement avec Jira.

Cette intégration s'applique uniquement au logiciel Jira Cloud et ne peut pas être installée pour le serveur Jira sur site.

Conditions préalables

  • HCL AppScan on Cloud Compte de service et une clé API et un code secret pour l'authentification AppScan on Cloud.
  • Compte utilisateur Jira Cloud avec les autorisations nécessaires pour installer et gérer l'intégration, et pour créer et modifier tous les problèmes Jira pour tous les projets vers lesquels vous importez des problèmes AppScan de sécurité.

Installation

Pour installer l'intégration de HCL AppScan pour Jira Cloud :
  1. Connectez-vous à votre instance Cloud Jira avec des privilèges suffisants pour installer l'intégration depuis la marketplace.
  2. Sélectionnez des Applications > Explorer plus d'applications.
  3. Cliquez sur Rechercher de nouvelles applications pour accéder à Atlassian Marketplace.
  4. Cherchez l'intégration « HCL AppScan pour JIRA Cloud ».
  5. Sur la page de l'intégration, cliquez sur Obtenir l'application.
  6. Vérifiez les autorisations et poursuivez l'installation.

    Jira Cloud télécharge et installe automatiquement l'intégration. Une fois l'installation terminée, Jira Cloud affiche un message de confirmation.

    L'intégration peut être utilisée dans votre instance de Cloud Jira.

Utilisation de l'intégration

La page d'intégration HCL AppScan comporte cinq onglets :
  • Informations d'identification

    Saisissez et vérifiez les informations d'identification HCL AppScan on Cloud.

  • Configuration

    Personnalisez les paramètres des travaux d'importation par application en fonction des stratégies et des priorités de sécurité de votre entreprise.

  • Importation unique

    Lancez des importations ponctuelles vers Jira Cloud.

  • Importation automatique

    Planifiez les importations récurrentes en fonction de fréquences prédéfinies.

  • Historique

    Afficher l'historique des travaux d'importation récents.

Configuration des données d'identification
Pour vérifier vos identifiants de connexion AppScan on Cloud et les enregistrer de manière sécurisée et chiffrée sur votre instance Atlassian :
  1. Dans l'intégration Jira Cloud HCL AppScan, cliquez sur l'onglet Informations d'identification .
  2. Vérifiez l'URL du serveur.

    Par défaut, l'URL du serveur est renseignée avec https://cloud.appscan.com. Pour vous connecter au serveur UE, remplacez-le par https://eu.cloud.appscan.com.

  3. Saisissez votre ID de clé et votre code secret, puis cliquez sur Enregistrer et vérifier les informations d'identification.

Configuration

Personnalisez les paramètres des tâches d'importation pour adapter la manière dont les applications AppScan on Cloud sont importées. Sélectionnez les options de configuration qui répondent aux stratégies et priorités de sécurité de votre entreprise, afin de garantir une création de tickets Jira précise et exploitable.

Une application est une collection d'examens liés au même projet. Une application peut contenir une combinaison de différents examens, ainsi que des problèmes importés à partir de scanners tiers. Tous les résultats sont consolidés au niveau de l'application.

Pour configurer les paramètres d'une ou plusieurs applications :
  1. Sur la page d'intégration de Jira Cloud HCL AppScan, cliquez sur l'onglet Configuration.
  2. Dans la liste déroulante Applications, sélectionnez une ou plusieurs applications pour lesquelles vous souhaitez configurer l'importation des problèmes de sécurité. Pour configurer toutes les applications, sélectionnez Toutes.
    Remarque : Lorsque vous sélectionnez plusieurs applications, les modifications apportées aux paramètres de configuration sont appliquées à chacune d'entre elles.
  3. Spécifiez les identifiants de la stratégie. Facultatif.

    Utilisez une liste séparée par des virgules pour spécifier plusieurs ID de stratégie.

  4. Filtrez les problèmes à importer en fonction de l'état du problème, de la gravité et du type d'examen.

    Les problèmes d'importation de l'intégration HCL AppScan dans Jira Cloud en fonction des sélections effectuées ici. Vous pouvez sélectionner différentes valeurs pour chaque filtre.

    Filtrer Valeurs Sélection par défaut.
    Statut
    • Ouvert
    • En cours
    • Rouvert
    		 Ouvert
    Gravité
    • Critique
    • Élevé
    • Moyen
    • Faible
    • Informatif
    		 Tout
    Type d'examen
    • DAST
    • SAST
    • SCA
    • IAST
    		 Tout
  5. Dans la liste déroulante Importer les problèmes dans le projet Jira, indiquez le projet Jira dans lequel l'intégration place les problèmes provenant de AppScan on Cloud.
  6. Dans la liste déroulante Importer des problèmes dans Jira, indiquez le type de problème Jira qui doit être créé pour chaque problème importé depuis AppScan on Cloud.

    La liste déroulante contient les types de tickets Jira en fonction du projet sélectionné à l'étape 5. Les types de problèmes Jira disponibles peuvent inclure Amélioration, Tâche, Sous-tâche, Nouvelle fonctionnalité, Bogue, et Epic.

  7. Pour chaque niveau de gravité AppScan, sélectionnez une priorité Jira, en mappant les problèmes AppScan on Cloud aux problèmes Jira de la manière la plus adaptée à votre entreprise

    Le mappage des problèmes par défaut est illustré ici :

  8. Cliquez sur Enregistrer la configuration

    Cette configuration est utilisée lors du lancement d'importations ponctuelles ou d'importations planifiées pour l'application AppScan on Cloud ou les applications sélectionnées.

Importation unique

Pour lancer une importation ponctuelle de problèmes à partir d'AppScan on Cloud à l'aide de la configuration enregistrée :
  1. Sur la page intégration HCL AppScan dans Jira Cloud, cliquez sur l'onglet Importation unique.
  2. Spécifiez le nombre maximal de problèmes à importer par application.
  3. Cliquez sur Importer maintenant.

    L'intégration affiche l'état de l'importation, y compris le nombre de problèmes importés. Une fois l'intégration terminée, un message de confirmation s'affiche.

Importation automatique

Pour planifier des importations récurrentes en fonction de la configuration enregistrée :
  1. Sur la page d'intégration de HCL AppScan dans Jira Cloud, cliquez sur l'onglet Importation automatique.
  2. Spécifiez une fréquence pour les problèmes d'importation.
  3. Spécifiez le nombre maximal de problèmes à importer par application.
  4. Spécifiez des informations supplémentaires en fonction de la fréquence précisée :
    Fréquence Informations supplémentaires requises
    Toutes les heures Aucune. L'importation a lieu toutes les heures.
    Tous les jours Heure de la journée
    Toutes les semaines Jour de la semaine et heure de la journée
    Tous les mois Date et heure de la journée.
  5. Cliquez sur Planifier l'importation automatique.

Historique

Pour afficher l'historique des importations :
  • Sur la page d'intégration de HCL AppScan dans Jira Cloud, cliquez sur l'onglet Historique.

    Afficher les détails des travaux d'importation récents, tels que l'ID d'importation, la date/l'heure de la dernière exécution, le type d'importation, les problèmes importés et l'état.

Exemple de ticket Jira

  • Le résumé inclut la technologie d'examen qui a détecté le problème.
  • Les Descriptions contiennent les détails suivants sur le problème :
  • Le champ Environnement contient l'environnement HCL AppScan qui a détecté le problème.
  • Le fichier joint est un rapport de problème unique qu'un développeur peut utiliser pour comprendre les détails du problème. Pour les problèmes SAST, le fichier joint contient les traces d'appels du problème. Pour les problèmes DAST, le fichier contient les détails de la demande/réponse.

Résolution des problèmes

Une fois l'intégration installée, le logiciel HCL a accès aux journaux générés lors de l'utilisation de l'intégration. Les journaux contiennent des informations techniques sur les activités, les travaux d'importation, etc. Si vous rencontrez des problèmes techniques, nous pouvons utiliser les journaux pour diagnostiquer et résoudre le problème.

Pour vérifier le contenu des journaux, téléchargez-les et consultez-les :
  1. Rendez-vous sur https://support.atlassian.com/security-and-access-policies/docs/manage-your-users-third-party-apps/#Manageconnectedapps-Troubleshootanapp.
  2. Cliquez sur Dépanner une application.
  3. Suivez les instructions fournies.
Vous pouvez également désactiver l'accès aux journaux à tout moment :
  1. Rendez-vous sur https://support.atlassian.com/security-and-access-policies/docs/manage-your-users-third-party-apps/#Manageconnectedapps-Troubleshootanapp.
  2. Cliquez sur Désactiver l'accès au journal.
  3. Suivez les instructions fournies.
    Remarque : L'autorisation d'accès aux journaux nous permet d'accéder aux journaux des 60 derniers jours, même si le partage n'était pas actif avant cette date. Lorsque vous désactivez l'accès aux journaux, nous ne pouvons plus voir les journaux créés sur votre site.