La integración en Jira de incorpora microaprendizaje contextual sobre temas de seguridad de las aplicaciones directamente en las incidencias de Jira, de modo que los desarrolladores pueden recibir formación pertinente cuando más la necesitan: mientras trabajan para resolver problemas de seguridad.
¿Cómo funciona?
El complemento busca en segundo plano referencias a taxonomías de debilidades de seguridad estándar del sector, como Common Weakness Enumeration (CWE) y Open Web Application Security Project Top 10 (OWASP Top 10) en las incidencias de Jira. Actualmente, el complemento busca estos identificadores en el título, la descripción y las etiquetas de la incidencia.
También hay un ajuste de configuración opcional para adicionalmente incluir campos personalizados que el plugin también buscará. Esto puede ser útil si tienes procesos o herramientas que añaden estas referencias en un campo personalizado en lugar de un campo de incidencia estándar de Jira, como la descripción o las etiquetas.
Nota: Como alternativa, el complemento también buscará un conjunto de nombres y frases comunes de vulnerabilidades en el título y la descripción de la incidencia.
Si el complemento detecta una de estas referencias (por ejemplo, CWE 89, OWASP Top 10 A1) o una frase (por ejemplo, "SQL injection", "use-after-free" o "forceful browsing"), el desarrollador puede aprovechar el panel de aprendizaje de Secure Code Warrior® en el ticket para aprender más sobre la vulnerabilidad específica viendo un vídeo (si está disponible) o realizando un ejercicio de formación dentro de la plataforma.
Consejo: Para los usuarios que hayan iniciado sesión, toda la actividad de formación se tendrá en cuenta para sus métricas generales de Formación.
Paso 1
Como administrador de Jira, en el menú Administración , seleccione Administrar aplicaciones, seleccione la aplicación Secure Code Warrior para Jira y haga clic en Configurar. También puede seleccionar Configuración en la barra de navegación izquierda.
Paso 2
Configuración de proyectos individuales
Seleccione un proyecto de la lista desplegable para habilitar la integración y cambie el interruptor Enabled a On.
Seleccione cualquier campo personalizado en el que también desee buscar referencias o nombres de vulnerabilidad (opcional) y, a continuación, haga clic en Guardar para almacenar la configuración del proyecto seleccionado. Puede configurar cada proyecto de forma independiente cambiando de proyecto mediante la lista desplegable - sólo recuerde hacer clic en Guardar antes de cambiar de proyecto.
Configuración global
También puede activar la integración globalmente para todos los proyectos activando la opción Configurar todos los proyectos globalmente y, a continuación, cambiando el ajuste Activado a Activado.
Seleccione los campos personalizados en los que también desea buscar referencias de vulnerabilidad o nombres (opcional) y, a continuación, haga clic en Guardar para habilitar esta opción en todos los proyectos. Esto aplicará la misma configuración de campos personalizados a todos los proyectos.
Paso 3
Opcionalmente, puede registrar su instalación utilizando un ID de inquilino que puede crear desde el portal Secure Code Warrior. Esto vinculará esta instalación a su cuenta de empresa de Secure Code Warrior y permitirá algunas funciones futuras, como la generación de informes de compromiso y una mayor personalización.
Paso 4
La integración intentará localizar automáticamente referencias a vulnerabilidades CWE y OWASP Top 10 en las etiquetas de incidencia, resumen, descripción y cualquier campo personalizado configurado. Si no puede encontrar ninguna de estas referencias, buscará nombres y frases de vulnerabilidades comunes dentro de estas mismas áreas.
Comentarios
0 comentarios
Inicie sesión para dejar un comentario.