Aller au contenu

Configurer les Licences Interdites

BoostSecurity permet de générer des alertes lorsque des packages tiers dans vos projets utilisent des licences que votre organisation interdit. La vérification des licences utilise les inventaires SBOM de vos projets pour inspecter les licences des packages et déclencher des alertes de licence si elles violent une politique définie.

Prérequis

Pour activer les alertes de licence, vous devez :

  • Générer des inventaires SBOM.
  • Activer le scanner BoostSecurity.
  • Créer des politiques qui définissent les licences interdites et les actions à entreprendre.

Comment Créer des Politiques de Vérification des Licences

Les politiques peuvent définir les actions à entreprendre en cas de licences interdites. Par exemple, la politique peut spécifier l'envoi d'un message Slack comme action. Vous configurez également les licences considérées comme interdites pour votre entreprise dans le cadre de la politique.

Pour créer une politique pour les licences interdites, suivez ces instructions :

  1. Accédez à la page des Politiques.

  2. Cliquez sur le bouton Nouvelle Politique situé en haut à droite de la page.

    Nouvelle Politique

  3. Ajoutez un Nom de Politique, par exemple, Licence Interdite, et une Description.

  4. Sélectionnez une action par défaut pour la règle. Les actions disponibles incluent :

    • Échouer la vérification
    • Ajouter un commentaire au PR
    • Envoyer une notification
    • Créer un ticket
    • Ignorer
    • Ne pas notifier les développeurs (Si aucune action n'est sélectionnée, le système par défaut est celui-ci)

  5. Ajoutez des règles à la politique en cliquant sur le bouton Ajouter une Règle.

    Ajouter des Règles

  6. Cliquez sur le bouton Ajouter une Action, puis sélectionnez Classe de Vulnérabilité comme catégorie de règle et réglez-la sur Utilisation de Licences Interdites. Sélectionnez également une condition correspondante à effectuer si la catégorie de règle est déclenchée.

    Définir Rule

  7. Configurez le Scanner :

    • Cliquez sur l'onglet Scanners ensuite.
    • Recherchez le tag "utilisation-de-licence-interdite" en utilisant le filtre d'ID de Classe de Vulnérabilité, ou "Utilisation de licences interdites" en utilisant les filtres Scanner, Groupe et Nom de Règle.
    • Sélectionnez le Scanner BoostSecurity. Assurez-vous de sélectionner uniquement le groupe Utilisation de Licences Interdites et de désélectionner les autres règles groupées sous le scanner.

    Rechercher le Scanner de Licences

    • Sélectionnez les licences dans la liste des licences non autorisées disponibles et cliquez sur "Terminé" pour enregistrer.

    Sélectionner des Licences

  8. Cliquez sur Enregistrer pour sauvegarder la politique et le scanner configuré.

    Enregistrer le Scanner

FAQ

Comment mettre à jour la Liste des Licences Interdites du Scanner BoostSecurity

Pour mettre à jour la liste des licences interdites dans votre organisation :

  1. Accédez à la page des Politiques et cliquez sur la politique sauvegardée pour les licences interdites.
  2. Cliquez sur l'onglet "Scanners".

  3. Cliquez sur l'icône de modification comme indiqué dans l'image ci-dessous.

    Modifier les Licences

  4. Sélectionnez des licences non autorisées supplémentaires à ajouter et cliquez sur le bouton Terminé.

    Ajouter plus de Licences

  5. Enfin, cliquez sur le bouton Enregistrer pour mettre à jour la liste des licences interdites dans la politique.