Comment Créer une Nouvelle Politique¶

Créer une politique implique d'établir des règles spécifiques et d'assigner des actions automatiques lorsque ces règles sont déclenchées. Voici un guide étape par étape pour configurer une nouvelle politique :

Accédez à la page Politique et cliquez sur le bouton Nouvelle Politique dans le coin supérieur droit.
Fournissez un Nom et une Description pour votre politique, par exemple, Licences interdites, Indicateur de gravité, etc.
Sélectionnez une action pour la règle si vous n'utilisez pas l'action par défaut (Ne pas notifier les développeurs), qui inclut :
- Échouer la vérification - Envoie un message "Échec" à votre tâche CI. Que la construction échoue immédiatement dépend de la configuration de votre pipeline.
- Ajouter un commentaire à la PR - Ajoute un commentaire à la PR.
- Générer une Remédiation AI - Active les suggestions de remédiation pilotées par l'IA pour des ressources spécifiques. Nécessite que Ajouter un commentaire à la PR soit sélectionné simultanément pour que des résultats soient retournés.
- Envoyer une notification - Notifie vos intégrations configurées (Slack, Teams ou Webhook). Vous devez sélectionner les intégrations et ajouter le nom du canal ou le webhook.
- Créer un ticket - Génére un ticket dans votre outil de suivi de problèmes. Remarque : Un nom de projet est requis.
- Supprimer - Supprime toutes les résultats générées par la politique.
- Réprimer - Réprime les résultats.
Warning

Si vous avez supprimer tout dans votre politique, la conformité est toujours 0 pour les actifs concernés.

Info

Vous pouvez sélectionner plusieurs actions pour se produire simultanément (par exemple, 'Échouer la vérification' ET 'Envoyer une notification')
Cliquez sur le bouton Ajouter une Règle.
Cliquez sur le bouton Ajouter une Action pour définir une catégorie de règle de politique, en spécifiant des paramètres tels que Label, Score EPSS, Score CVSS, ID de vulnérabilité, Confiance, Gravité, Drapeau de dépôt, ou beaucoup plus.
Sélectionnez l'une des catégories de règles d'action, mais pour ce guide, sélectionnons Gravité comme chemin d'action.
Définissez la logique pour la règle.
1. Sélectionnez le symbole >=.
2. Sélectionnez Avertissement comme valeur.
3. Interprétation : "Si la gravité est supérieure ou égale à Avertissement, déclenchez l'action par défaut (par exemple, Ajouter un commentaire à la PR)."
Enregistrez vos progrès.

Info

Vous pouvez ajouter plusieurs "Actions" pour une "Condition" donnée en cliquant sur le bouton +Action.
Cliquez sur l'onglet Scanners à côté pour sélectionner des analyseurs spécifiques pour votre politique personnalisée. Par défaut, tous les analyseurs sont actifs pour une nouvelle politique. Pour restreindre le périmètre, décochez Sélectionner Tous les Analyseurs et choisissez uniquement des analyseurs spécifiques pertinents pour cette politique.
Sélectionnez les analyseurs requis dans la liste Analyseurs Disponibles pour les déplacer vers l'onglet Analyseurs Actifs.
Cliquez sur le bouton Composants pour configurer des restrictions pour les Licences OSS et les Composants AI.
1. Type de Sélection : Choisissez entre Autorisé (liste blanche) ou Interdit (liste noire) pour les Licences OSS et les Composants AI.
2. Configuration : Utilisez les menus déroulants pour sélectionner les licences spécifiques ou les modèles AI que vous souhaitez autoriser ou interdire.
Note

Activer une liste d'autorisation/interdiction pour les vérifications de licences ne suffit pas à lui seul, car cela ne générera aucune découverte de licences par la seule activation. Vous devez vous assurer que la règle correspondante 'Utilisation d'une Licence Interdite' est également activement sélectionnée dans les paramètres de l'onglet Scanner. Si cette règle d'analyseur n'est pas active, aucune découverte ne sera générée même si vous interdisiez une licence ici.
Cliquez sur le bouton Enregistrer pour appliquer vos modifications.