Начало работы с безопасностью приложений
Применение Ключ-АСТРОМ / Безопасность приложений / Начало работы с безопасностью приложений
Из-за повсеместного увеличения использования библиотек с открытым исходным кодом современные приложения обычно содержат большое количество уязвимостей. Оценка сотен или тысяч открытых уязвимостей быстро становится сложной задачей.
Ключ-АСТРОМ Application Security предназначен для выявления уязвимостей, требующих немедленного изучения. Он автоматически анализирует пути доступа к данным и производственное выполнение, чтобы обеспечить автоматическую оценку рисков и последствий.
Чтобы отслеживать проблемы безопасности сторонних библиотек в вашей среде, следуйте приведенным ниже инструкциям.
- Назначение разрешений
- Включить аналитику уязвимостей
- Контроль аналитики уязвимостей по технологиям
Предпосылки
- Ключ-АСТРОМ SaaS или управляемая версия 1.225+
- ЕдиныйАгент версии 1.241+
Поддерживаемые технологии
Ключ-АСТРОМ обнаруживает сторонние уязвимости в следующих технологиях.
Технологии | Минимальная версия ЕдиногоАгента |
---|---|
Go | 1.245 |
Java | 1.221 |
Среды выполнения Java | 1.253 |
Kubernetes | 1.219 |
.NET | 1.233 |
.NET runtimes | 1.255 |
Node.js | 1.231 |
Node.js runtimes | 1.253 |
PHP | 1.231 |
Назначение разрешений
Вам необходимо назначить разрешение администратора безопасности пользователям, которым будет разрешено просматривать уязвимости и управлять ими.
Примечание. Для управляемых сред вместо этого необходимо назначить разрешение « Управление проблемами безопасности ».
Чтобы назначить разрешение администратора безопасности
- В Ключ-АСТРОМ откройте меню пользователя в правом верхнем углу страницы и выберите « Настройки учетной записи » > «Управление идентификацией» > «Управление пользователями » .
Добавить существующего пользователя
Чтобы добавить существующего пользователя в группу
- Выберите Изменить для пользователя, которого хотите добавить.
- Прокрутите вниз до пункта « Назначить группы пользователю » и выберите группу администраторов безопасности .
- Выберите Сохранить .
Добавить нового пользователя
Чтобы добавить нового пользователя в группу
- Выберите Пригласить пользователя .
- Введите необходимые данные.
- Прокрутите вниз до пункта « Назначить группы пользователю » и выберите группу администраторов безопасности .
- Выберите Пригласить .
Дополнительные сведения о разрешениях пользователей см. в разделе Управление группами пользователей и разрешениями .
Включить аналитику уязвимостей
Чтобы включить Application Security, вам необходимо включить его функцию аналитики уязвимостей.
- В меню Ключ-АСТРОМ выберите Безопасность приложений > Уязвимости и выберите Активировать настройки .
- Выберите «Включить аналитику уязвимостей во время выполнения» . Примечание. Эта функция использует единицы безопасности приложений. Подробнее см. в разделе Мониторинг безопасности приложений .
Контроль аналитики уязвимостей по технологиям опционально
После включения аналитики уязвимостей Ключ-АСТРОМ по умолчанию начинает генерировать уязвимости для всех поддерживаемых технологий. Контролировать, какие из этих технологий должны получать уязвимости
- В меню Ключ-АСТРОМ перейдите в раздел « Настройки » и выберите « Безопасность приложений » > « Аналитика уязвимостей » > « Общие настройки » .
- Включите или отключите технологии по мере необходимости. Примечание. Технологии среды выполнения (например, среды выполнения Java и Node.js) привязаны к соответствующей основной технологии (например, Java и Node.js). Если основная технология отключена, соответствующая технология выполнения автоматически отключается. Если вы включаете основную технологию, включение соответствующей технологии времени выполнения необязательно.
- Выберите Сохранить изменения , чтобы сохранить конфигурацию.
После включения и настройки функций Application Security и ЕдиногоАгента вы можете приступить к мониторингу уязвимостей ваших сторонних библиотек в Ключ-АСТРОМ .
Примечание. Для существующих пользователей: если у вас возникнут проблемы после включения и настройки Application Security, см. раздел Устранение неполадок в Application Security .