Перейти к содержанию

CodeScoring OSA

Общее описание

CodeScoring реализует модуль OSA через специализированные плагины, которые осуществляют блокировку загрузки нежелательных компонентов в Sonatype Nexus Repository Manager (NXRM) и JFrog Artifactory.

Плагин встраивается в цепочку обработки request|response NXRM и JFrog Artifactory что обеспечивает блокирование нежелательных компонентов не только при попытке первой загрузки, но и при любой попытке его скачивания: используя командный интерфейс выбранного пакетного менеджера или через веб-интерфейс.

Основные функции плагина:

  • плагин обеспечивает обогащение метаданных компонентов информацией об уязвимостях;
  • блокирование компонентов производится в зависимости от политик настроенных в CodeScoring;
  • если в плагине активирована опция удаления при блокировании, то информация о компонентах полностью удаляется из прокси репозитория;
  • если на момент обращения плагина к ядру, CodeScoring по каким то причинам будет недоступен, то по умолчанию, плагин будет блокировать все компоненты.

Рекомендации по установке и настройке плагина для:

Настройка политик для работы с плагином

В качестве источника информации для принятия решения о блокировании или разрешении загрузки компонентов плагин использует механизм политик CodeScoring. Для того чтобы политика применялась при вызове от плагина, необходимо произвести дополнительные настройки выбранной политики в разделе Policies:

  • Stages - необходимо дополнительно указать значение proxy;
  • установить флаг Blocks build;
  • установить флаг Is Active

Policy settings example