Jira との統合により、アプリケーション・セキュリティ・トピックに関する文脈に応じたマイクロラーニングが Jira 課題に直接組み込まれるため、開発者はセキュリティ問題の解決に取り組んでいる間など、最も必要なときに適切なトレーニングを受けることができます。
どのように機能するのか?
このプラグインは、Jira 課題の中で、Common Weakness Enumeration (CWE) や Open Web Application Security Project Top 10 (OWASP Top 10) のような業界標準のセキュリティ弱点分類法への参照をバックグラウンドで監視します。このプラグインは現在、課題のタイトル、説明、ラベルでこれらの識別子を検索します。
オプションで さらにを追加するオプション設定もあります。これは、説明やラベルといった標準のJira課題フィールドではなく、カスタムフィールドにこれらの参照を追加するプロセスやツールがある場合に便利です。
注:予備機能として、プラグインは課題のタイトルと説明文に含まれる一般的な脆弱性の名前と語句も検索します。
プラグインがこれらの参照(例:CWE 89、OWASP Top 10 A1)またはフレーズ(例:"SQLインジェクション"、"use-after-free"、"forceful browsing")を検出した場合、開発者はチケットのSecure CodeWarrior®ラーニングパネルを活用して、ビデオを見たり(利用可能な場合)、プラットフォーム内でトレーニング演習を行うことで、特定の脆弱性について詳しく学ぶことができます。
ユーザが以前にトレーニングプラットフォームにログインしたことがあり、そのセッションの有効期限が切れている場合は、再度ログインするよう求められます。
ヒントログインしているユーザの場合、すべてのトレーニングアクティビティがトレーニング全体のメトリクスにカウントされます。
ステップ 1
Jira設定から[アプリの管理] をクリックし、[Secure Code Warrior for Jira] アプリを選択して [設定] をクリックします。
ステップ 2
個別プロジェクトの構成
ドロップダウン リストから統合を有効にするプロジェクトを選択し、[有効]トグルを[オン] に切り替えます。
脆弱性参照または名前 (オプション) を検索するカスタムフィールドを選択し、[保存] をクリックします。 保存 をクリックして、選択したプロジェクトの設定を保存します。ドロップダウンリストを使用してプロジェクトを切り替えることで、各プロジェクトを個別に設定できます。 保存 をクリックしてください。
グローバル設定
すべてのプロジェクトをグローバルに設定する ]オプションを オンにし、[ 有効]設定をオンに切り替える ことで、すべてのプロジェクトに対してグローバルに統合を有効にすることもできます。
脆弱性の参照や名前(オプション)を検索するカスタムフィールドを選択し、保存を クリックしてすべてのプロジェクトで有効にします。これにより、すべてのプロジェクトに同じカスタムフィールド設定が適用されます。
ステップ 3
オプションで、Secure Code Warrior ポータル内から作成できるテナント ID を使用してインストールを登録できます。これにより、このインストールがSecure Code Warriorの企業アカウントにリンクされ、エンゲージメントレポートや詳細なカスタマイズなど、将来的にいくつかの機能が使用できるようになります。
ステップ4
統合は、問題のラベル、サマリー、説明、および設定されたカスタムフィールドで、CWEおよびOWASP Top 10脆弱性の参照を自動的に見つけようとします。これらの参照を見つけることができない場合、これらの同じ領域内で一般的な脆弱性の名前とフレーズを検索します。
動画
コメント
0件のコメント
サインインしてコメントを残してください。