Aller au contenu

Configurer les Licences Interdites

BoostSecurity peut vous alerter lorsque vos projets utilisent des packages tiers avec des licences interdites. Il inspecte vos inventaires Nomenclature logicielle pour vérifier les licences des packages par rapport aux politiques de votre organisation et génère des alertes en cas de violations.

Prérequis

Pour activer les alertes de licence, vous devez :

  • Générer des inventaires Nomenclature logicielle.
  • Activer l'analyseur BoostSecurity.
  • Créer des politiques qui définissent les licences interdites et les actions à entreprendre.

Comment Créer des Politiques de Vérification des Licences

Les politiques définissent les actions à entreprendre lorsque des licences interdites sont détectées et spécifient quelles licences sont considérées comme interdites pour votre organisation. Par exemple, une politique peut envoyer un message Slack ou échouer un build lorsqu'une licence interdite est trouvée.

Pour créer une politique pour les licences interdites, suivez ces instructions :

  1. Accédez à la page des Politiques.

  2. Cliquez sur le bouton Nouvelle Politique situé en haut à droite de la page.

    Nouvelle Politique

  3. Ajoutez un Nom de Politique, par exemple, Licence Interdite, et une Description.

  4. Sélectionnez une action par défaut pour la règle. Les actions disponibles incluent :

    • Échouer la vérification
    • Ajouter un commentaire au PR
    • Générer une Remédiation AI
    • Envoyer une notification
    • Créer un ticket
    • Ignorer
    • Ne pas notifier les développeurs (Si aucune action n'est sélectionnée, le système par défaut est celui-ci)

    Note

    L'action Générer une Remédiation AI nécessite que l'action Ajouter un commentaire au PR soit sélectionnée simultanément pour que des résultats soient retournés.

  5. Ajoutez des règles à la politique en cliquant sur le bouton Ajouter une Règle.

    Ajouter des Règles

  6. Cliquez sur le bouton Ajouter une Action, puis sélectionnez Classe de Vulnérabilité comme catégorie de règle et réglez-la sur Utilisation de Licences Interdites. Sélectionnez également une condition correspondante à effectuer si la catégorie de règle est déclenchée.

    Définir Rule

  7. Configurez l'analyseur :

    • Cliquez sur l'onglet Scanners ensuite.
    • Sélectionnez le Scanner BoostSecurity. Assurez-vous de sélectionner uniquement le groupe Utilisation de Licences Interdites et de désélectionner les autres règles groupées sous le scanner.

    Rechercher l'analyseur de Licences

  8. Ensuite, passez à l'onglet Composants et sélectionnez Licences OSS.

    • Choisissez le Type de Sélection comme Licences Refusées et choisissez la licence non autorisée à vérifier dans la liste des licences disponibles.

    Sélectionner des Licences

  9. Cliquez sur Enregistrer pour sauvegarder la politique et les paramètres configurés.

FAQ

Comment mettre à jour la Liste des Licences Interdites de l'analyseur BoostSecurity

Pour mettre à jour la liste des licences interdites dans votre organisation :

  1. Accédez à la page des Politiques et cliquez sur la politique sauvegardée pour les licences interdites.
  2. Cliquez sur l'onglet "Composants".

  3. Sélectionnez ou désélectionnez les licences non autorisées pour mettre à jour vos paramètres configurés.

    Modifier les Licences

  4. Enfin, cliquez sur le bouton Enregistrer pour mettre à jour la liste des licences interdites sur la politique.