Dentro da plataforma da Veracode temos uma seria de políticas pré-configuradas, baseadas nos principais padrões de mercado e níveis de maturidade. Como exemplo, temos políticas baseadas no Top 10 da OWASP e com gradações que permitem utilizá-las para quebrar um fluxo de acordo com a criticidade das falhas encontradas.
Mas também é totalmente possível criar suas próprias políticas personalizadas, para fazer isso basta entrar na seção "Policies" e dentro dela clicar novamente em "Policies":
Nessa tela vamos conseguir ver todas as políticas existentes, sendo que no botão de ação no canto direito, poderemos ver detalhes, copiar, editar ou deletar essa política selecionada.
As políticas padrões da Veracode não podem ser editadas ou deletadas, mas podemos utilizar elas de base para criar uma política, utilizando a opção "Copy Policy"
Ao copiar, nossa primeira tela vai permitir editar as informações básicas, como nome, descrição e se ela vai funcionar como uma política para aplicações de terceiros:
Depois de personalizar, basta selecionar "Next".
Na próxima tela poderemos configurar as regras, levando em conta que inicialmente vamos ter as que foram copiadas da política escolhida anteriormente. Caso precise personalizar ou adicionar alguma nova, basta clicar em "Add New Rule" e selecionar o tipo de regra.
Podemos definir regras gerais e regras especificas para a análise de componentes de terceiros, ou SCA. Depois de selecionada, basta clicar em "Add Rule to Policy".
Na seção "Evaluation Timeframe" podemos definir quando as descobertas podem afetar a conformidade com a política. Os aplicativos não são aprovados na política se as descobertas que violam as regras forem abertas ou reabertas dentro do prazo de avaliação.
"Grace Period" permite que defina um prazo para resolver um problema antes que ele faça com que o aplicativo não seja aprovado na política.
E por fim em "Custom Severities for CWEs" pode alterar a criticidade das CWEs para essa política em específico.
Uma vez que tenha personalizado todos os itens, basta clicar em "Next"
Na seção "Scan Requirements" podemos definir quais tipos de análise queremos colocar como obrigatórias e com quais períodos, por exemplo, que uma análise SAST precisa ser feita ao menos por semana.
Depois de clicar em "Finish", temos nossa política publicada.
Deixando uma política como padrão
Voltando ao menu "Policies" podemos clicar na segunda opção, "Policy Settings". Nela vamos poder definir qual a política padrão em cada um dos níveis de severidade, para que qualquer nova aplicação criada e tendo ele atribuído, carregue a política definida.
Depois de escolhido, basta clicar em "Save".
Top comments (0)