ASoC と Jira Cloud

HCL AppScan と Jira Cloud の統合により、AppScan on Cloud で特定されたセキュリティー問題に対して、Jira チケットを簡単に自動作成または臨時作成できるようになりました。

これは一方向の統合です。いったん Jira Cloud でチケットを作成すると、AppScan on Cloud で問題に対して変更を加えても、Jira と自動的に同期されることはありません。

この統合は Jira Cloud ソフトウェアにのみ適用されます。オンプレミスの Jira Server にはインストールできません。

前提条件

  • HCL AppScan on Cloud AppScan on Cloud 認証用のサービス・アカウントと API キーおよびシークレット。
  • 統合のインストールと管理、および AppScan のセキュリティー問題をインポートするすべてのプロジェクトで Jira の問題を作成および変更する際に必要な権限を持つ、Jira Cloud ユーザー・アカウント。

インストール

HCL AppScan Integration for Jira Cloud をインストールするには、次の手順を実行します。
  1. マーケットプレイスから統合をインストールするための十分な権限を持って、Jira Cloud インスタンスにログインします。
  2. 「アプリケーション」 > 「その他のアプリケーションの探査」を選択します。
  3. 「新しいアプリの検索」をクリックして、Atlassian Marketplace にアクセスします。
  4. HCL AppScan Integration for Jira Cloud」を検索します。
  5. 統合のページで、「アプリの取得」をクリックします。
  6. 権限を確認し、インストールを続行します。

    Jira Cloud は統合を自動的にダウンロードしてインストールします。インストールが完了すると、Jira Cloud に確認メッセージが表示されます。

    この統合は、Jira Cloud インスタンス内で使用できます。

統合の使用

HCL AppScan Integration」ページには 5 つのタブがあります。
  • ログイン資格情報

    HCL AppScan on Cloud の資格情報を入力して確認します。

  • 構成

    組織のセキュリティー・ポリシーと優先順位に合わせて、アプリケーションごとにインポート・ジョブのパラメーターをカスタマイズします。

  • ワンタイム・インポート

    Jira Cloud への臨時ワンタイム・インポートを開始します。

  • 自動インポート

    定義済みの周期に基づいて、インポートの繰り返しをスケジュールします。

  • 履歴

    最近のインポート・ジョブの履歴を表示します。

ログイン資格情報のセットアップ
AppScan on Cloud のログイン認証情報を確認し、安全に暗号化して Atlassian インスタンスに保存するには、次の手順を実行します。
  1. Jira Cloud の「HCL AppScan Integration」で、「ログイン資格情報」タブをクリックします。
  2. サーバー URL を確認します。

    デフォルトでは、サーバー URL に https://cloud.appscan.com が入力されています。EU サーバーに接続するには、https://eu.cloud.appscan.com に変更します。

  3. キー ID とキー・シークレットを入力し、「認証情報の保存と確認」をクリックします。

構成

インポート・ジョブの設定をカスタマイズし、AppScan on Cloud アプリケーションのインポート方法を調整します。組織のセキュリティー・ポリシーと優先順位を満たす構成オプションを選択し、Jira チケットが正確で実行可能なものとして作成されるようにします。

アプリケーションは、同じプロジェクトに関連するスキャンのコレクションです。1 つのアプリケーションには、複数のスキャンおよびサード・パーティーのスキャナーからインポートされた問題の組み合わせを含めることができます。すべての検出結果は、アプリケーション・レベルで統合されます。

1 つまたは複数のアプリケーションのパラメーターを構成するには、次を実行します。
  1. Jira Cloud の「HCL AppScan Integration」ページで、「構成」タブをクリックします。
  2. 「アプリケーション」ドロップダウン・リストから、セキュリティー問題のインポートを構成する 1 つまたは複数のアプリケーションを選択します。すべてのアプリケーションを設定するには「すべて」を選択します。
    注: 複数のアプリケーションを選択すると、設定パラメーターへの変更が各アプリケーションに適用されます。
  3. ポリシー ID を指定します。オプション:

    複数のポリシー ID を指定するには、コンマ区切りリストを使用します。

  4. 問題の状態、重大度、スキャン・タイプに基づいて、インポートする問題をフィルタリングします。

    ここで選択した内容に基づいて、HCL AppScan Integration は問題を Jira Cloud へインポートします。フィルターごとに複数の値を選択できます。

    フィルター デフォルトの選択
    状態
    • オープン
    • 進行中
    • 再オープン
    		 オープン
    重大度
    • クリティカル
    • 情報
    		 すべて
    スキャン・タイプ
    • DAST
    • SAST
    • SCA
    • IAST
    		 すべて
  5. 「問題を Jira プロジェクトにインポート」ドロップダウン・リストから、統合により AppScan on Cloud からの問題が配置される Jira プロジェクトを指定します。
  6. 「問題を Jira の問題タイプにインポート」ドロップダウン・リストで、AppScan on Cloud からインポートされる各問題に対して作成すべき Jira の問題のタイプを指定します。

    ドロップダウンには、ステップ 5 で選択したプロジェクトに基づいた Jira チケット・タイプが入力されています。利用可能な Jira の問題タイプには、改善、タスク、サブタスク、新機能、バグ、そしてエピックがあります。

  7. AppScan の重要度ごとに Jira 優先度を選択し、AppScan on Cloud の問題を組織に最適な方法で Jira の問題にマッピングします

    デフォルトの問題マッピングは次のとおりです。

  8. 「構成の保存」をクリックします。

    この構成は、選択した AppScan on Cloud アプリケーション (複数可) に対して臨時ワンタイム・インポートまたはスケジュール・インポートを開始するときに使用されます。

ワンタイム・インポート

保存した設定を使用して AppScan on Cloud から問題の臨時インポートを開始するには、次を実行します。
  1. Jira Cloud の「HCL AppScan Integration」ページで、「ワンタイム・インポート」タブをクリックします。
  2. アプリケーションごとにインポートする問題の最大数を指定します。
  3. 「今すぐインポート」 をクリックします。

    統合には、インポートされた問題の数を含むインポート状況が表示されます。完了すると、統合に成功メッセージが表示されます。

自動インポート

保存されている構成に基づいて繰り返されるインポートをスケジュールするには、次を実行します。
  1. Jira Cloud の「HCL AppScan Integration」ページで、「自動インポート」タブをクリックします。
  2. 問題をインポートする頻度を指定します。
  3. アプリケーションごとにインポートする問題の最大数を指定します。
  4. 指定された頻度に従って追加情報を指定します。
    頻度 必要な追加情報
    毎時 なし。インポートは 1 時間ごとに実行されます。
    毎日 Time of day
    毎週 曜日と時刻
    毎月 日付と時刻
  5. 「自動インポートのスケジュール」をクリックします。

履歴

履歴を表示するには、次を実行します。
  • Jira Cloud の「HCL AppScan Integration」ページで、「履歴」タブをクリックします。

    インポート ID、最終実行日時、インポートのタイプ、インポートされた問題、状況など、最近のインポート・ジョブの詳細が表示されます。

Jira チケットのサンプル

  • 概要には、問題を検出したスキャン技術が含まれます。
  • 「説明」には、問題に関する詳細が表示されます。
  • 「環境」フィールドには、問題を検出した HCL AppScan 環境が表示されます。
  • 添付ファイルは、開発者が問題の詳細を理解するために使用できる、単一問題のレポートです。SAST の問題の場合、添付ファイルには問題の Stacktrace が含まれます。DAST 問題の場合、ファイルには要求/応答の詳細が含まれます。

トラブルシューティング

統合がインストールされると、HCL ソフトウェアは統合の使用時に生成されるログにアクセスできるようになります。ログには、アクティビティー、ジョブのインポートなどに関する技術情報が含まれています。技術的な問題がある場合は、ログを参照して問題の診断とトラブルシューティングを行うことができます。

ログの内容を確認するには、ログをダウンロードして確認します。
  1. https://support.atlassian.com/security-and-access-policies/docs/manage-your-users-third-party-apps/#Manageconnectedapps-Troubleshootanapp をご覧ください。
  2. 「アプリのトラブルシューティング」をクリックします。
  3. 表示された手順に従います。
ログ・アクセスは、いつでも無効にすることができます。
  1. https://support.atlassian.com/security-and-access-policies/docs/manage-your-users-third-party-apps/#Manageconnectedapps-Troubleshootanapp をご覧ください。
  2. 「ログ・アクセスの無効化」をクリックします。
  3. 表示された手順に従います。
    注: ログへのアクセス権を付与すると、以前に共有がアクティブでなかった場合でも、最長で 60 日前までのログにアクセスできます。ログへのアクセスを無効にすると、サイト内で作成されたログは表示されなくなります。