ASoC 和 Jira Cloud

Jira Cloud 的 IBM AppScan 整合有助於針對 AppScan on Cloud 所發現的安全問題,自動或特定建立 Jira 問題單。

這是單向整合:一旦在 Jira Cloud 中建立問題單,針對 AppScan on Cloud 中問題的進一步修改將不會自動同步到 Jira。

此整合僅適用於 Jira Cloud 軟體,無法安裝於內部部署的 Jira 伺服器。

必要條件

  • HCL AppScan on Cloud 服務帳戶,以及用於 AppScan on Cloud 鑑別的 API 金鑰和密碼。
  • JIRA Cloud 使用者帳戶具有安裝和管理整合的必要權限,並可針對您要匯入 AppScan 安全問題的所有專案建立並修改所有 Jira 問題。

安裝

若要安裝 Jira Cloud 的 IBM AppScan 整合:
  1. 使用足夠的權限登入您的 Jira Cloud 實例,以安裝市集的整合。
  2. 選取「應用程式 > 」探索更多應用程式
  3. 按一下「尋找新的應用程式」以存取 Atlassian Marketplace。
  4. 搜尋「Jira Cloud 的 IBM AppScan 整合」。
  5. 在「整合」頁面上,按一下「取得應用程式」。
  6. 檢閱權限並繼續安裝。

    Jira Cloud 會自動下載並安裝整合。安裝完成後,Jira Cloud 會顯示確認訊息。

    此整合可用於您的 Jira Cloud 實例中。

使用整合

IBM AppScan「整合」頁面有五個標籤:
  • 登入認證

    輸入並驗證 HCL AppScan on Cloud 認證。

  • 配置

    根據貴組織的安全原則與優先順序,自訂每個應用程式的匯入工作參數。

  • 一次性匯入

    啟動特定一次性匯入到 Jira Cloud。

  • 自動匯入

    根據預先定義的頻率排程週期性匯入。

  • 歷程

    檢視最近匯入工作的記錄。

設定登入認證
若要驗證您的 AppScan on Cloud 登入認證,並在您的 Atlassian 實例上以安全加密的方式儲存:
  1. 在 Jira Cloud 中的 IBM AppScan 整合上,按一下「登入認證」標籤。
  2. 請驗證伺服器 URL。

    依預設,伺服器 URL 會填入 https://cloud.appscan.com。若要連線至歐盟伺服器,請將其變更為 https://eu.cloud.appscan.com

  3. 輸入您的金鑰 ID 和金鑰密碼,然後按一下「儲存並驗證認證」。

配置

自訂匯入工作設定,以量身打造 AppScan on Cloud 應用程式的匯入方式。選擇符合貴組織安全原則與優先順序的配置選項,確保建立正確且可據以行動的 Jira 問題單。

應用程式是與相同專案相關的掃描集合。一個應用程式可包含數個掃描的組合,以及從第三方掃描器匯入的問題。所有發現項目都在應用程式層次上合併。

若要設定一或多個應用程式參數:
  1. 在 Jira Cloud 中的 IBM AppScan「整合」頁面上,按一下「配置」標籤。
  2. 從「應用程式」下拉清單中,選取一個或多個應用程式,以設定安全問題的匯入。若要設定所有應用程式,請選取「全部」。
    註: 當您選取一個以上的應用程式時,配置參數的變更會套用至每個應用程式。
  3. 指定「原則 ID」。選用。

    請使用以逗點區隔清單來指定多個原則 ID。

  4. 根據「問題狀態」、「嚴重性」和「掃描類型」過濾要匯入的問題。

    IBM AppScan 整合會根據此處的選擇將問題匯入 Jira Cloud。您可以為每個過濾器選取多個值。

    過濾器 預設選項
    狀態
    • 待解決
    • 進行中
    • 已重新開啟
    		 待解決
    嚴重性
    • 重大
    • 供參考
    		 全部
    掃描類型
    • DAST
    • SAST
    • SCA
    • IAST
    		 全部
  5. 從「匯入問題到 Jira 專案」下拉清單中,指定整合要將 AppScan on Cloud 問題放置的 Jira 專案。
  6. 在「匯入問題到 Jira 問題類型」下拉清單中,指定每個從 AppScan on Cloud 匯入的問題應建立的 Jira 問題類型。

    下拉清單會根據步驟 5 中選取的專案,填入 Jira 問題單類型。可用的 Jira 問題類型可能包括「改善」、「作業」、「子作業」、「新功能」、「錯誤」和「提案」。

  7. 針對每個 AppScan 嚴重性,選取 Jira 優先順序,以最適合您組織的方式將 AppScan on Cloud 問題對應至 Jira 問題

    預設問題對應顯示於此處:

  8. 按一下「儲存配置

    AppScan on Cloud 應用程式或應用程式啟動特定一次性匯入或排程匯入時,會使用此配置。

一次性匯入

若要使用儲存的配置,從 AppScan on Cloud 啟動特定問題匯入:
  1. 在 Jira Cloud 中的 IBM AppScan「整合」頁面上,按一下「一次性匯入」標籤。
  2. 指定每個應用程式要匯入的問題數量上限。
  3. 按一下「立即匯入」。

    整合會顯示匯入狀態,包括匯入的問題數量。完成時,整合會顯示成功訊息。

自動匯入

若要根據儲存的配置排程週期性匯入:
  1. 在 Jira Cloud 中的 IBM AppScan「整合」頁面上,按一下「自動匯入」標籤。
  2. 指定匯入問題的頻率。
  3. 指定每個應用程式要匯入的問題數量上限。
  4. 根據指定的頻率,指定其他資訊:
    頻率 需要其他資訊
    每小時 無。每個小時整點進行匯入。
    每日 時間
    每週 星期幾和時間
    每月 日期與時間
  5. 按一下「排程自動匯入」。

歷程

若要檢視匯入歷程:
  • 在 Jira Cloud 中的 IBM AppScan「整合」頁面上,按一下「歷程」標籤。

    檢視最近匯入工作的詳細資料,例如匯入 ID、上次執行日期/時間、匯入類型、匯入的問題,以及狀態。

範例 Jira 問題單

  • 摘要包括偵測到問題的掃描技術。
  • 說明」包含所含問題的相關詳細資料
  • 環境」欄位包含偵測到問題的 IBM AppScan 環境。
  • 附加檔案是一個單一問題報告,可供開發人員用來瞭解問題的詳細資料。對於 SAST 問題,附加檔案包含問題的堆疊追蹤。對於 DAST 問題,檔案包含「要求/回應詳細資料」。

疑難排解

安裝整合後,HCL 軟體就能存取使用整合時所產生的日誌。日誌包含有關活動、匯入工作等的技術資訊。如果您有技術問題,我們可以使用日誌來診斷和疑難排解該問題。

若要檢查日誌的內容,請下載並檢閱這些記錄:
  1. 請造訪 https://support.atlassian.com/security-and-access-policies/docs/manage-your-users-third-party-apps/#Manageconnectedapps-Troubleshootanapp
  2. 按一下「疑難排解應用程式」。
  3. 遵循所顯示的指示。
您也可以隨時停用日誌存取:
  1. 請造訪 https://support.atlassian.com/security-and-access-policies/docs/manage-your-users-third-party-apps/#Manageconnectedapps-Troubleshootanapp
  2. 按一下「停用日誌存取」。
  3. 遵循所顯示的指示。
    註: 即使之前未啟用共享,授予日誌存取權限可讓我們存取最多 60 天前的日誌。停用日誌存取後,我們將無法再看到您網站內建立的任何日誌。