Jira との統合により、アプリケーション・セキュリティ・トピックに関する文脈に応じたマイクロラーニングが Jira 課題に直接組み込まれるため、開発者はセキュリティ問題の解決に取り組んでいる間など、最も必要なときに適切なトレーニングを受けることができます。
どのように機能するのか?
このプラグインは、Jira 課題の中で、Common Weakness Enumeration (CWE) や Open Web Application Security Project Top 10 (OWASP Top 10) のような業界標準のセキュリティ弱点分類法への参照をバックグラウンドで監視します。このプラグインは現在、課題のタイトル、説明、ラベルでこれらの識別子を検索します。
オプションで さらにを追加するオプション設定もあります。これは、説明やラベルといった標準のJira課題フィールドではなく、カスタムフィールドにこれらの参照を追加するプロセスやツールがある場合に便利です。
注:予備機能として、プラグインは課題のタイトルと説明文に含まれる一般的な脆弱性の名前と語句も検索します。
プラグインがこれらの参照(例:CWE 89、OWASP Top 10 A1)またはフレーズ(例:"SQL インジェクション"、"use-after-free"、"forceful browsing")を検出した場合、開発者はチケット上のSecure CodeWarrior®ラーニングパネルを活用し、ビデオを見たり(利用可能な場合)、プラットフォーム内でトレーニング演習を行うことで、特定の脆弱性について詳しく学ぶことができます。
ヒントログインしているユーザーの場合、すべてのトレーニングアクティビティは総合的なトレーニングメトリクスにカウントされます。
ステップ 1
Jira 管理者として、 管理 メニューから [Manage Apps] を 選択 し、[Secure Code Warrior for Jira] アプリを 選択して [Configure] を クリック します。または、左のナビゲーション バーで [構成] を選択することもできます。
ステップ 2
個々のプロジェクトの構成
ドロップダウン リストから統合を有効にするプロジェクトを選択し、[有効] トグルを[オン] に切り替えます。
脆弱性参照や名前(オプション)を検索するカスタムフィールドを選択し、Save 。ドロップダウンリストを使用してプロジェクトを切り替えることで、各プロジェクトを個別に設定できます。プロジェクトを切り替える前に、Save をクリックすることを忘れないでください。
グローバル設定
[すべてのプロジェクトをグローバルに設定 ] オプションを オンにし、[ 有効] 設定を[オン] に 切り替えることで、すべてのプロジェクトに対してグローバルに統合を有効にすることもできます。
脆弱性参照や名前(オプション)を検索するカスタムフィールドを選択し、保存を クリックしてすべてのプロジェクトで有効にします。これにより、すべてのプロジェクトに同じカスタムフィールド設定が適用されます。
ステップ 3
オプションで、Secure Code Warrior ポータル内から作成できるテナント ID を使用してインストールを登録できます。これにより、このインストールがSecure Code Warriorの企業アカウントにリンクされ、エンゲージメントレポートや詳細なカスタマイズなど、将来的にいくつかの機能が使用できるようになります。
ステップ4
統合は、問題のラベル、サマリー、説明、および設定されたカスタムフィールドで、CWEおよびOWASP Top 10脆弱性の参照を自動的に検索しようとします。これらの参照を見つけることができない場合、これらの同じ領域内で一般的な脆弱性の名前とフレーズを検索します。
コメント
0件のコメント
サインインしてコメントを残してください。