ASoC 和 Jira Cloud
Jira Cloud 的 IBM AppScan 整合有助於針對 AppScan on Cloud 所發現的安全問題,自動或特定建立 Jira 問題單。
這是單向整合:一旦在 Jira Cloud 中建立問題單,針對 AppScan on Cloud 中問題的進一步修改將不會自動同步到 Jira。
此整合僅適用於 Jira Cloud 軟體,無法安裝於內部部署的 Jira 伺服器。
必要條件
- HCL AppScan on Cloud 服務帳戶,以及用於 AppScan on Cloud 鑑別的 API 金鑰和密碼。
- JIRA Cloud 使用者帳戶具有安裝和管理整合的必要權限,並可針對您要匯入 AppScan 安全問題的所有專案建立並修改所有 Jira 問題。
安裝
- 使用足夠的權限登入您的 Jira Cloud 實例,以安裝市集的整合。
- 選取「 。
- 按一下「尋找新的應用程式」以存取 Atlassian Marketplace。
- 搜尋「Jira Cloud 的 IBM AppScan 整合」。
- 在「整合」頁面上,按一下「取得應用程式」。
- 檢閱權限並繼續安裝。
Jira Cloud 會自動下載並安裝整合。安裝完成後,Jira Cloud 會顯示確認訊息。
此整合可用於您的 Jira Cloud 實例中。
使用整合
- 登入認證
輸入並驗證 HCL AppScan on Cloud 認證。
- 配置
根據貴組織的安全原則與優先順序,自訂每個應用程式的匯入工作參數。
- 一次性匯入
啟動特定一次性匯入到 Jira Cloud。
- 自動匯入
根據預先定義的頻率排程週期性匯入。
- 歷程
檢視最近匯入工作的記錄。
- 在 Jira Cloud 中的 IBM AppScan 整合上,按一下「登入認證」標籤。
- 請驗證伺服器 URL。
依預設,伺服器 URL 會填入 https://cloud.appscan.com。若要連線至歐盟伺服器,請將其變更為 https://eu.cloud.appscan.com。
- 輸入您的金鑰 ID 和金鑰密碼,然後按一下「儲存並驗證認證」。
配置
自訂匯入工作設定,以量身打造 AppScan on Cloud 應用程式的匯入方式。選擇符合貴組織安全原則與優先順序的配置選項,確保建立正確且可據以行動的 Jira 問題單。
應用程式是與相同專案相關的掃描集合。一個應用程式可包含數個掃描的組合,以及從第三方掃描器匯入的問題。所有發現項目都在應用程式層次上合併。
若要設定一或多個應用程式參數:- 在 Jira Cloud 中的 IBM AppScan「整合」頁面上,按一下「配置」標籤。
- 從「應用程式」下拉清單中,選取一個或多個應用程式,以設定安全問題的匯入。若要設定所有應用程式,請選取「全部」。註: 當您選取一個以上的應用程式時,配置參數的變更會套用至每個應用程式。
- 指定「原則 ID」。選用。
請使用以逗點區隔清單來指定多個原則 ID。
- 根據「問題狀態」、「嚴重性」和「掃描類型」過濾要匯入的問題。
IBM AppScan 整合會根據此處的選擇將問題匯入 Jira Cloud。您可以為每個過濾器選取多個值。
過濾器 值 預設選項 狀態 - 待解決
- 進行中
- 已重新開啟
待解決 嚴重性 - 重大
- 高
- 中
- 低
- 供參考
全部 掃描類型 - DAST
- SAST
- SCA
- IAST
全部 - 從「匯入問題到 Jira 專案」下拉清單中,指定整合要將 AppScan on Cloud 問題放置的 Jira 專案。
- 在「匯入問題到 Jira 問題類型」下拉清單中,指定每個從 AppScan on Cloud 匯入的問題應建立的 Jira 問題類型。
下拉清單會根據步驟 5 中選取的專案,填入 Jira 問題單類型。可用的 Jira 問題類型可能包括「改善」、「作業」、「子作業」、「新功能」、「錯誤」和「提案」。
- 針對每個 AppScan 嚴重性,選取 Jira 優先順序,以最適合您組織的方式將 AppScan on Cloud 問題對應至 Jira 問題
預設問題對應顯示於此處:
-
按一下「儲存配置」
為 AppScan on Cloud 應用程式或應用程式啟動特定一次性匯入或排程匯入時,會使用此配置。
一次性匯入
- 在 Jira Cloud 中的 IBM AppScan「整合」頁面上,按一下「一次性匯入」標籤。
- 指定每個應用程式要匯入的問題數量上限。
- 按一下「立即匯入」。
整合會顯示匯入狀態,包括匯入的問題數量。完成時,整合會顯示成功訊息。
自動匯入
- 在 Jira Cloud 中的 IBM AppScan「整合」頁面上,按一下「自動匯入」標籤。
- 指定匯入問題的頻率。
- 指定每個應用程式要匯入的問題數量上限。
- 根據指定的頻率,指定其他資訊:
頻率 需要其他資訊 每小時 無。每個小時整點進行匯入。 每日 時間 每週 星期幾和時間 每月 日期與時間 - 按一下「排程自動匯入」。
歷程
- 在 Jira Cloud 中的 IBM AppScan「整合」頁面上,按一下「歷程」標籤。
檢視最近匯入工作的詳細資料,例如匯入 ID、上次執行日期/時間、匯入類型、匯入的問題,以及狀態。
範例 Jira 問題單
![](Graphics/jira_cloud_sample_ticket.png)
- 摘要包括偵測到問題的掃描技術。
- 「說明」包含所含問題的相關詳細資料
- 「環境」欄位包含偵測到問題的 IBM AppScan 環境。
- 附加檔案是一個單一問題報告,可供開發人員用來瞭解問題的詳細資料。對於 SAST 問題,附加檔案包含問題的堆疊追蹤。對於 DAST 問題,檔案包含「要求/回應詳細資料」。
疑難排解
安裝整合後,HCL 軟體就能存取使用整合時所產生的日誌。日誌包含有關活動、匯入工作等的技術資訊。如果您有技術問題,我們可以使用日誌來診斷和疑難排解該問題。
- 請造訪 https://support.atlassian.com/security-and-access-policies/docs/manage-your-users-third-party-apps/#Manageconnectedapps-Troubleshootanapp。
- 按一下「停用日誌存取」。
- 遵循所顯示的指示。註: 即使之前未啟用共享,授予日誌存取權限可讓我們存取最多 60 天前的日誌。停用日誌存取後,我們將無法再看到您網站內建立的任何日誌。