ASoC 和 Jira Cloud

Jira Cloud 的 HCL AppScan 集成有助于自动或临时创建 Jira 票证,以解决 AppScan on Cloud 确定的安全性问题。

这是单向集成:在 Jira Cloud 中创建票证后,对 AppScan on Cloud 中问题的进一步修改不会自动同步到 Jira。

此集成仅适用于 Jira Cloud 软件,不能为本地 Jira Server 安装。

先决条件

  • HCL AppScan on Cloud 服务帐户以及用于 AppScan on Cloud 认证的 API 密钥和机密信息。
  • 具有必要权限的 Jira Cloud 用户帐户,以便安装和管理集成,以及为您要向其导入 AppScan 安全性问题的所有项目创建和修改所有 Jira 问题。

安装

要安装 Jira Cloud 的 HCL AppScan 集成:
  1. 使用足够的权限登录您的 Jira Cloud 实例,以便从市场安装集成。
  2. 选择应用程序 > 探索更多应用程序
  3. 单击查找新应用程序,以访问 Atlassian 市场。
  4. 搜索“Jira Cloud 的 HCL AppScan 集成”。
  5. 在集成页面上,单击获取应用程序
  6. 检查权限并继续安装。

    Jira Cloud 会自动下载并安装集成。安装完成后,Jira Cloud 会显示一条确认消息。

    该集成可在 Jira Cloud 实例中使用。

使用集成

HCL AppScan 集成页面有五个选项卡:
  • 登录凭证

    输入并验证 HCL AppScan on Cloud 凭证。

  • 配置

    根据组织的安全策略和优先级,定制每个应用程序的导入作业参数。

  • 一次性导入

    启动到 Jira Cloud 的临时一次性导入。

  • 自动导入

    根据预定义的频率安排周期性导入。

  • 历史记录

    查看最近导入作业的历史记录。

设置登录凭证
要验证您的 AppScan on Cloud 登录凭证并以安全加密的方式将其保存到您的 Atlassian 实例:
  1. 在 Jira Cloud 中的 HCL AppScan 集成中,单击登录凭证选项卡。
  2. 验证服务器 URL。

    缺省情况下,服务器 URL 填充为 https://cloud.appscan.com。要连接到 EU 服务器,请将其更改为 https://cloud.appscan.com/eu

  3. 输入密钥标识和密钥,然后单击保存并验证凭证

配置

自定义导入作业设置以定制 AppScan on Cloud 应用程序的导入方式。选择符合组织安全策略和优先级的配置选项,确保创建准确且可操作的 Jira 票证。

应用程序是与同一项目相关的扫描的集合。一个应用程序可包含从第三方扫描程序导入的多个扫描和问题的组合。所有结果都在应用程序级别进行了整合。

要为一个或多个应用程序配置参数:
  1. 在 Jira Cloud 中的 HCL AppScan 集成页面中,单击配置选项卡。
  2. 应用程序下拉列表中,选择一个或多个要为其配置安全性问题导入的应用程序。要为所有应用程序配置,请选择全部
    注: 选择多个应用程序时,对配置参数的更改将应用于每个应用程序。
  3. 指定策略标识。可选。

    使用逗号分隔列表来指定多个策略标识。

  4. 根据问题状态、严重性和扫描类型过滤要导入的问题。

    根据此处所做的选择,HCL AppScan 集成会将问题导入到 Jira Cloud。您可以为每个过滤器选择多个值。

    过滤器 缺省选择
    状态
    • 未解决
    • 进行中
    • 已重新打开
    		 未解决
    严重性
    • 严重
    • 参考
    		 全部
    扫描类型
    • DAST
    • SAST
    • SCA
    • IAST
    		 全部
  5. 将问题导入到 Jira 项目下拉列表中,指定集成将 AppScan on Cloud 问题导入的 Jira 项目。
  6. 在“将问题导入 jira 问题类型”下拉列表中,指定应为从 AppScan on Cloud 导入的每个问题创建的 Jira 问题类型。

    下拉列表将根据步骤 5 中选择的项目填充 Jira 票证类型。可用的 Jira 问题类型可能包括改进、任务、子任务、新功能、错误和 Epic。

  7. 对于每个 AppScan 严重性,请选择 Jira 优先级,从而以最适合贵组织的方式将 AppScan on Cloud 问题映射到 Jira 问题

    缺省问题映射如下所示:

  8. 单击保存配置

    为所选 AppScan on Cloud 应用程序启动临时一次性导入或计划导入时使用此配置。

一次性导入

要使用已保存的配置,从 AppScan on Cloud 启动问题的临时导入:
  1. 在 Jira Cloud 中的 HCL AppScan 集成页面中,单击一次性导入选项卡。
  2. 指定每个应用程序要导入的最大问题数。
  3. 单击立即导入

    集成显示导入状态,包括导入的问题计数。完成后,集成将显示一条成功消息。

自动导入

要根据保存的配置计划周期性导入:
  1. 在 Jira Cloud 中的 HCL AppScan 集成页面中,单击自动导入选项卡。
  2. 指定导入问题的频率。
  3. 指定每个应用程序要导入的最大问题数。
  4. 根据指定的频率指定附加信息:
    频率 需要更多信息
    每小时 无。每隔一小时导入一次。
    每天 一天中的时间
    每周 一周中的一天和一天中的时间
    每月 日期和一天中的时间
  5. 单击计划自动导入

历史记录

要查看导入历史记录:
  • 在 Jira Cloud 中的 HCL AppScan 集成页面中,单击历史记录选项卡。

    查看最近导入作业的详细信息,例如导入标识、上次运行日期/时间、导入类型、导入的问题和状态。

示例 Jira 票证

  • 摘要包括检测到问题的扫描技术。
  • 描述包含问题相关详细信息,包括:
  • 环境字段包含检测到问题的 HCL AppScan 环境。
  • 附加文件是单个问题报告,开发人员可以使用它来了解问题的详细信息。对于 SAST 问题,附加文件包含问题的堆栈跟踪。对于 DAST 问题,文件包含请求/响应详细信息。

故障诊断

安装集成后,HCL 软件就可以访问使用集成时生成的日志。日志包含有关活动、导入作业等的技术信息。如果您有技术问题,我们可以使用日志来诊断问题并进行故障诊断。

要检查日志的内容,请下载并查看日志:
  1. 请访问 https://support.atlassian.com/security-and-access-policies/docs/manage-your-users-third-party-apps/#Manageconnectedapps-Troubleshootanapp
  2. 单击应用程序故障诊断
  3. 按照显示的说明执行操作。
您也可以随时禁用日志访问:
  1. 请访问 https://support.atlassian.com/security-and-access-policies/docs/manage-your-users-third-party-apps/#Manageconnectedapps-Troubleshootanapp
  2. 单击禁用日志访问
  3. 按照显示的说明执行操作。
    注: 授予日志访问权限可让我们访问最多 60 天前的日志,即使在此之前共享未处于活动状态也是如此。当您禁用对日志的访问时,我们将无法再看到在您的站点中创建的任何日志。