Comment Créer une Nouvelle Politique¶

Créer une politique implique d'établir des règles spécifiques et d'assigner des actions automatiques lorsque ces règles sont déclenchées.

Utiliser une Politique de Base (Optionnel)¶

Une politique de base est une politique parent dont votre nouvelle politique peut hériter. Cela est utile lorsque vous souhaitez standardiser la configuration des politiques au sein des équipes (par exemple, une “base de référence” partagée par l'entreprise), tout en permettant aux politiques individuelles d'ajouter ou de remplacer un comportement spécifique.

Lorsque vous sélectionnez une politique de base, la nouvelle politique peut hériter de :

Règles (conditions + actions)
Scanners (quels scanners/ensembles de règles sont actifs)
Composants (restrictions de licence et de composants AI)

Comment fonctionne l'héritage¶

L'héritage fonctionne différemment selon ce que vous configurez dans la politique enfant :

Règles : Les règles définies dans la nouvelle politique sont ajoutées par-dessus les règles de la politique de base.
Scanners : Les scanners définis dans la nouvelle politique remplacent la sélection de scanners de la politique de base.
- Pour hériter des scanners de la politique de base, laissez le champ Scanners Actifs de la politique enfant vide.
Composants : Les restrictions de composants définies dans la nouvelle politique remplacent les composants de la politique de base.

Tip

Si vous souhaitez réutiliser une configuration de scanner existante de la politique de base, NE sélectionnez PAS les scanners dans la politique enfant. Si des scanners sont sélectionnés, BoostSecurity utilise la configuration de scanner de la politique enfant au lieu d'hériter.

Workflow de Création de Politique¶

Suivez ce guide étape par étape pour configurer une nouvelle politique :

Accédez à la page Politique et cliquez sur le bouton Nouvelle Politique dans le coin supérieur droit.
Fournissez un Nom et une Description pour votre politique, par exemple, Licences interdites, Indicateur de gravité, etc.
(Optionnel) Dans le menu déroulant Politique de base, sélectionnez une politique parent pour hériter des règles, des scanners et des composants.

Info

Vous pouvez toujours personnaliser la politique après avoir choisi une politique de base. Les règles sont additives, mais les Scanners et Composants sont basés sur un remplacement (à moins que les scanners ne soient laissés vides).
Sélectionnez une action pour la règle si vous n'utilisez pas l'action par défaut (Ne pas notifier les développeurs), qui inclut :
- Échouer la vérification - Envoie un message "Échec" à votre tâche CI. Que la construction échoue immédiatement dépend de la configuration de votre pipeline.
- Ajouter un commentaire à la PR - Ajoute un commentaire à la PR.
- Générer une Remédiation AI - Active les suggestions de remédiation pilotées par l'IA pour des ressources spécifiques. Nécessite que Ajouter un commentaire à la PR soit sélectionné simultanément pour que des résultats soient retournés.
- Envoyer une notification - Notifie vos intégrations configurées (Slack, Teams, ou Webhook). Vous devez sélectionner les intégrations et ajouter le nom du canal ou le webhook.
- Créer un ticket - Génére un ticket dans votre outil de suivi de problèmes. Remarque : Un nom de projet est requis.
- Supprimer - Supprime tous les résultats générés par la politique.
- Réprimer - Réprime les résultats.
Warning

Si vous avez une action supprimer tout dans votre politique, la conformité est toujours 0 pour les actifs concernés.

Info

Vous pouvez sélectionner plusieurs actions pour qu'elles se produisent simultanément (par exemple, 'Échouer la vérification' ET 'Envoyer une notification')
Cliquez sur le bouton Ajouter une Règle.
Définissez une action de politique, en spécifiant des paramètres tels que Label, Score EPSS, Score CVSS, ID de vulnérabilité, Confiance, Gravité, Drapeau de dépôt, ou beaucoup plus.
Sélectionnez une action de politique parmi les catégories disponibles (par exemple, Nomenclature logicielle). Pour ce guide, sélectionnons Gravité.
Définissez la logique pour la règle.
1. Sélectionnez le symbole >=.
2. Sélectionnez Avertissement comme valeur.
3. Interprétation : "Si la gravité est supérieure ou égale à Avertissement, déclenchez l'action par défaut (par exemple, Ajouter un commentaire à la PR, et Générer une Remédiation AI)."
Enregistrez vos progrès.

Info

Vous pouvez ajouter plusieurs "Règles" et "Conditions" pour les actions de politique en cliquant sur le bouton + Règle.
Cliquez sur l'onglet Scanners à côté pour sélectionner des analyseurs spécifiques pour votre politique personnalisée. Par défaut, tous les analyseurs sont actifs pour une nouvelle politique. Pour restreindre le périmètre, décochez Sélectionner Tous les Analyseurs et choisissez uniquement des analyseurs spécifiques pertinents pour cette politique.
Sélectionnez les analyseurs requis dans la liste Analyseurs Disponibles pour les déplacer vers l'onglet Analyseurs Actifs.
Cliquez sur le bouton Composants pour configurer des restrictions pour les Licences OSS et les Composants AI.
1. Type de Sélection : Choisissez entre Autorisé (liste blanche) ou Interdit (liste noire) pour les Licences OSS et les Composants AI.
2. Configuration : Utilisez les menus déroulants pour sélectionner les licences spécifiques ou les modèles AI que vous souhaitez autoriser ou interdire.
Note

Activer une liste d'autorisation/interdiction pour les vérifications de licences ne suffit pas à lui seul, car cela ne générera aucune découverte de licences par la seule activation. Vous devez vous assurer que la règle correspondante 'Utilisation d'une Licence Interdite' est également activement sélectionnée dans les paramètres de l'onglet Scanner. Si cette règle d'analyseur n'est pas active, aucune découverte ne sera générée même si vous interdisiez une licence ici.
Cliquez sur le bouton Enregistrer pour appliquer vos modifications.