ASoC および Jira Cloud

Jira Cloud 用の HCL AppScan 統合によって、AppScan on Cloud で特定されたセキュリティー問題に対する Jira チケットの自動作成または臨時作成が容易になります。

この統合は Jira Cloud ソフトウェアにのみ適用され、オンプレミス Jira Server にはインストールできません。

前提条件

  • HCL AppScan on Cloud サービス・アカウントと AppScan on Cloud 認証用の API キーおよびシークレット。
  • 統合のインストールと管理、および AppScan セキュリティー問題をインポートするすべてのプロジェクトの Jira の問題の作成と変更に必要な権限を持つ Jira Cloud ユーザー・アカウント。

インストール

Jira Cloud 用 HCL AppScan 統合をインストールするには、次の手順を実行します。
  1. マーケットプレイスからの統合をインストールするために十分な権限で Jira Cloud インスタンスにログインします。
  2. 「アプリケーション」 > 「その他のアプリケーションを探索」を選択します。
  3. 「新しいアプリの検索」をクリックして Atlassian Marketplace にアクセスします。
  4. 「Jira Cloud 用 HCL AppScan 統合」を検索します。
  5. 統合のページで、「アプリを取得」をクリックします。
  6. 権限を確認してインストールを続行します。

    Jira Cloud は統合を自動的にダウンロードしてインストールします。インストールが完了すると、Jira Cloud に確認メッセージが表示されます。

    この統合は、Jira Cloud インスタンス内で使用できます。

統合の使用

HCL AppScan 統合ページには、5 つのタブがあります。
  • 認証情報

    HCL AppScan on Cloud 認証情報を入力して確認します。

  • 設定

    組織のセキュリティー・ポリシーと優先順位に合わせて、アプリケーションごとにインポート・ジョブのパラメーターをカスタマイズします。

  • ワンタイム・インポート

    Jira Cloud へのアドホック・ワンタイム・インポートを開始します。

  • 自動インポート

    定義済みの頻度に基づいて繰り返しインポートをスケジュールします。

  • 履歴

    最近のインポート・ジョブの履歴を表示します。

認証情報の設定
AppScan on Cloud ログイン認証情報を確認し、Atlassian インスタンスに安全で暗号化された方法で保存するには、次の手順を実行します。
  1. Jira Cloud 用 HCL AppScan 統合で、「認証情報」タブをクリックします。
  2. サービス URL を確認します。

    デフォルトでは、サービス URL には https://cloud.appscan.com が入力されています。EU サーバーに接続するには、https://eu.cloud.appscan.com に変更します。

  3. キー ID とキー・シークレットを入力し、「保存して認証情報を確認」をクリックします。

設定

インポート・ジョブの設定をカスタマイズして、AppScan on Cloud アプリケーションのインポート方法を調整します。組織のセキュリティー・ポリシーと優先順位を満たす設定オプションを選択し、Jira チケットの正確で実行可能な作成を保証します。

アプリケーションは、同じプロジェクトに関連するスキャンのコレクションです。1 つのアプリケーションには、複数のスキャンおよびサードパーティーのスキャナーからインポートされた問題の組み合わせを含めることができます。すべての検出結果は、アプリケーション・レベルで統合されます。

1 つ以上のアプリケーションのパラメーターを設定するには、次の手順を実行します。
  1. Jira Cloud 用 HCL AppScan 統合で、「設定」タブをクリックします。
  2. 「アプリケーション」ドロップダウン・リストから、セキュリティー問題のインポートを設定する 1 つ以上のアプリケーションを選択します。すべてのアプリケーションを設定するには「すべて」を選択します。
    注: 複数のアプリケーションを選択すると、設定パラメーターへの変更が各アプリケーションに適用されます。
  3. 「ポリシー ID」を指定します。オプション。

    複数のポリシー ID を指定する場合は、コンマで区切ったリストを使用します。

  4. 問題のステータス、重大度、スキャン・タイプに基づいて、インポートする問題をフィルタリングします。

    HCL AppScan 統合は、ここで選択した内容に基づいて、Jira Cloud に問題をインポートします。各フィルターには複数の値を選択できます。

    フィルター デフォルト値
    ステータス
    • オープン
    • 進行中
    • 再オープン
    オープン
    重大度
    • 重大
    • 情報
    すべて
    スキャン・タイプ
    • DAST
    • SAST
    • SCA
    • IAST
    すべて
  5. 「Jira プロジェクト」ドロップダウン・リストから、統合が AppScan on Cloud から問題を配置する Jira プロジェクトを指定します。
  6. 「Jira 問題タイプ」ドロップダウン・リストで、AppScan on Cloud からインポートされた各問題に対して作成する Jira の問題のタイプを指定します。

    ドロップダウンには、ステップ 5 で選択したプロジェクトに基づいて Jira チケット・タイプが入力されます。使用可能な Jira の問題タイプには、改善、タスク、サブタスク、新機能、バグ、エピックがあります。

  7. 「ステータス管理」セクションで、自動ステータス管理を有効または無効にするチェック・ボックスをクリックし、結果のダイアログ・ボックスで選択を確認します。有効にすると、Jira で「完了」とマークされた問題は、AppScan on Cloud で自動的に「修正済み」に更新されます。
  8. AppScan の重要度ごとに Jira 優先度を選択し、組織に最適な方法で AppScan on Cloud の問題を Jira 問題にマッピングします。

    デフォルトの問題マッピングは次のとおりです。

  9. 「設定の保存」をクリックします。

    この設定は、選択した 1 つ以上の AppScan on Cloud アプリケーションに対してアドホック・ワンタイム・インポートまたはスケジュール・インポートを開始するときに使用されます。

ワンタイム・インポート

保存した設定を使用して AppScan on Cloud から問題のアドホック・インポートを開始するには、次の手順を実行します。
  1. Jira Cloud の HCL AppScan 統合ページで、「ワンタイム・インポート」タブをクリックします。
  2. アプリケーションごとにインポートする問題の最大数を指定します。
  3. 「今すぐインポート」をクリックします。

    統合には、インポートされた問題の数を含むインポートのステータスが表示されます。完了すると、統合に成功メッセージが表示されます。

自動インポート

保存されている設定に基づいて繰り返しインポートをスケジュールするには、次の手順を実行します。
  1. Jira Cloud 用 HCL AppScan 統合で、「自動インポート」タブをクリックします。
  2. 問題をインポートする頻度を指定します。
  3. アプリケーションごとにインポートする問題の最大数を指定します。
  4. 指定された頻度に従って追加情報を指定します。
    頻度 追加情報が必要
    毎時 なし。インポートは 1 時間ごとに実行されます。
    毎日 時刻
    毎週 曜日と時刻
    毎月 日付と時刻
  5. 「自動インポートのスケジュール」をクリックします。

履歴

インポート履歴を表示するには、次の手順を実行します。
  • Jira Cloud 用 HCL AppScan 統合で、「履歴」タブをクリックします。

    インポート ID、最終実行日時、インポート・タイプ、インポートされた問題、ステータスなど、最近のインポート・ジョブの詳細を表示します。

Jira チケットのサンプル

  • 概要には問題を検出したスキャン技術が記載されています。
  • 「説明」には問題に関する以下の詳細が記載されています。
  • 「環境」フィールドには、問題が検出された HCL AppScan 環境が記載されています。
  • 添付ファイルは、開発者が問題の詳細を理解するために使用できる単一問題のレポートです。SAST の問題の場合、添付ファイルには問題のスタックトレースが含まれています。DAST 問題の場合、ファイルにはリクエスト/応答の詳細が含まれます。

トラブルシューティング

統合がインストールされると、HCL ソフトウェアは統合の使用時に生成されるログにアクセスできます。ログには、アクティビティ、ジョブのインポートなどに関する技術情報が記載されています。技術的な問題がある場合は、ログを使用して問題の診断とトラブルシューティングを行うことができます。

ログの内容を確認するには、ログをダウンロードして確認します。
  1. https://support.atlassian.com/security-and-access-policies/docs/manage-your-users-third-party-apps/#Troubleshoot-an-app を参照してください。
  2. 「アプリのトラブルシューティング」をクリックします。
  3. 表示されている手順に従います。
ログ・アクセスはいつでも無効にできます。
  1. https://support.atlassian.com/security-and-access-policies/docs/manage-your-users-third-party-apps/#Disable-log-access を参照してください。
  2. 「ログ・アクセスの無効化」をクリックします。
  3. 表示されている手順に従います。
    注: ログへのアクセス権を付与すると、以前に共有がアクティブでなかった場合でも、最長 30 日前までログにアクセスできます。ログへのアクセスを無効にすると、サイト内で作成されたログは表示されなくなります。