CodeScoring NXRM OSA
Установка плагина
Плагин CodeScoring NXRM OSA поставляется в виде JAR-файла и поддерживает версии Nexus Repository Manager 3.39.0-01 и выше.
Для добавления плагина в NXRM необходимо:
- Скопировать полученный от вендора файл
nexus-codescoring-plugin.jar
в директорию/opt/sonatype/nexus/deploy
: Если NXRM запущен в Docker-контейнере: - Выдать права для пользователя и группы
nexus
: Если NXRM запущен в Docker-контейнере:
После выполненных операций, необходимо произвести перезапуск NXRM.
Настройка плагина
Для применения плагина CodeScoring OSA в дальнейшей работе, необходимо использовать механизм Capability, предоставляемый NXRM. Capability – это набор API и компонентов UI для встраивания в NXRM, позволяющий расширять его функциональность.
Плагин CodeScoring OSA предоставляет три новые Capability:
- CodeScoring Configuration — настройка взаимодействия с on-premise инсталляцией CodeScoring.
- CodeScoring Scan — настройка сканирования для отдельно выбранного прокси-репозитория.
- CodeScoring Docker Repository Scan – настройка сканирования для hosted docker репозитория.
После установки плагина CodeScoring OSA в разделе System -> Capabilities
появится возможность создания Capability через элемент (+ Create capability
) интерфейса.
CodeScoring Configuration
Расширение позволяет задать общие настройки плагина для работы с on-premise версией CodeScoring:
- CodeScoring Token – ключ для авторизации вызовов API (Создается из CodeScoring раздела
Profile -> Home
); - CodeScoring URL – адрес on-premise инсталляции CodeScoring;
- HttpClient Connection Pool Size – количество доступных соединений. Параметр позволяет управлять количеством параллельных запросов, чтобы ускорить сканирование;
- HTTP Proxy Host – адрес прокси-сервера. Используется в случае, если нет возможности наладить прямое соединение между NXRM и CodeScoring;
- HTTP Proxy Port – порт прокси-сервера;
- Store artifact analysis in the DB to retrieve them via REST – сохранение результатов сканирования артифакта в базе Nexus с возможностью извлечения из Nexus API;
- Block downloads in case of plugin or CodeScoring errors – блокировка загрузки компонента при наличии ошибок от плагина или CodeScoring API.
Внимание: указанные настройки будут использовать все экземпляры осуществляющие проверку прокси репозиториев.
CodeScoring Proxy Repository Scan
Расширение позволяет установить функцию экранирования на выбранный прокси репозиторий со следующими параметрами:
- Repository – выбор репозитория, для которого будет применена функция экранирования;
- Security violation response status – код ошибки, возвращаемый при срабатывании политик безопасности;
- Run manual scan on save – запускает принудительное сканирование компонентов относящихся к выбранному прокси репозиторию при нажатии кнопки save;
- Delete blocked by policy component from repository – принудительное удаление блокируемых компонентов из репозитория (создание "стерильного" репозитория);
- Select capability work mode – режим работы плагина.
CodeScoring Docker Repository Scan
Расширение позволяет установить функцию экранирования на выбранный hosted или proxy docker репозиторий со следующими параметрами:
- Repository – выбор репозитория, для которого будет применена функция экранирования;
- Security violation response status – код ошибки, возвращаемый при срабатывании политик безопасности;
- This user skips container image scan – имя пользователя, для которого не применяется сканирование образов. Используется при загрузке и проверке компонентов консольным агентом;
- Host and port used for CodeScoring to download container image to scan – адрес и порт, через которые будут загружаться образы для сканирования. Используется для связи Nexus с репозиторием через Docker;
- Block not scanned images – блокировка загрузки образов, которые не были просканированы;
- Select capability work mode – режим работы плагина. Режимы работы описаны в секции ниже.
Настройка режима работы плагина
Режим работы плагина необходимо определить текстовой строкой в соответствующем поле настроек Capability CodeScoring Proxy Repository Scan и Capability CodeScoring Docker Repository Scan.
Плагин имеет 5 режимов работы, определяющих строгость проверки компонентов перед загрузкой.
- warmup – загрузка данных в кэш CodeScoring без блокировки компонентов;
- spectator – загрузка данных в кэш CodeScoring без блокировки компонентов, сохранение результатов запросов компонентов на инсталляции;
- moderate – блокировка компонентов, не прошедших проверку политик. Разрешена загрузка непросканированных компонентов;
- strict – блокировка компонентов, не прошедших проверку политик. Запрещена загрузка непросканированных компонентов;
- strict_wait – блокировка компонентов, не прошедших проверку политик. Ожидание проверки для непросканированных компонентов.
Настройка логирования
Для настройки логирования событий плагина необходимо зайти в раздел Support -> Logging
и добавить логгер с названием ru.codescoring и уровнем логирования DEBUG.
Результаты логирования событий доступны в разделе Support -> Logs
.
Пример работы плагина
После проверки компонента информация о нем будет отображаться в разделе Attributes:
- vulnerabilities - список найденных уязвимостей;
- licenses - список найденных лицензий;
- release date - дата выхода компонента;
- index URL - ссылка на страницу компонента в индексе пакетного менеджера;
- authors - авторы компонента;
- homepage - ссылка на домашнюю страницу компонента.
Загрузка компонентов, не прошедших проверку, блокируется. Ответ от плагина в таком случае имеет следующее содержание:
Сохранение и извлечение результатов сканирования артефакта
При активации признака Store artifact analysis in the DB to retrieve them via REST в конфигурации плагина результаты сканирования артефактов будут сохраняться в базу данных Nexus. Это позволяет получить информацию о том, какие компоненты запрашивались пользователями и какой был статус загрузки данных компонентов.
Извлечь результаты сканирования через Nexus REST API можно с помощью эндпоинта v1/analysis
с тремя опциональными параметрами:
- userName – имя пользователя в Nexus;
- date – дата сканирования в формате ГГГГ-ММ-ДД;
- repositoryName – название репозитория в Nexus.
Пример запроса с помощью curl
:
curl -X GET https://test.nexus.com/service/rest/v1/analysis?userName=example_user&date=2023-10-19&repositoryName=example_repository
Пример ответа с результатом сканирования:
[
{
"userName": "bobbi",
"artifactName": "specs",
"artifactVersion": "4.8",
"repositoryName": "gems",
"downloadState": "LOADED",
"scanDate": "2023-08-12",
"scanTime": "10:17:59"
},
{
"userName": "bobbi",
"artifactName": "kmod",
"artifactVersion": "27-1ubuntu2",
"repositoryName": "ubuntu",
"downloadState": "LOADED",
"scanDate": "2023-08-12",
"scanTime": "11:52:53"
},
]