FAQ

---

Comment puis-je ignorer un constat ?

Parfois, un constat de BoostSecurity peut ne pas représenter un problème réel. Dans ce cas, vous pouvez ajouter un commentaire noboost à la fin de la ligne pour demander au scanner de l'ignorer.

Dans des langages comme Java, JavaScript et TypeScript, utilisez ce qui suit :

someLineFlaggedByBoost() // noboost

Pour des langages comme Python, Ruby ou Terraform, ignorez une ligne comme suit :

someFlaggedLine() # noboost

Vous pouvez également décider d'ignorer des règles spécifiques en fournissant chaque nom de règle séparé par un espace.

someLineFlaggedByBoost() // noboost rule1 rule2

Si la ligne de code s'étend sur plusieurs lignes, mettez le commentaire sur la première ligne.

someLineFlaggedByBoost.someMethod(  # noboost
one, two);

L'ajout de noboost crée une suppression ; cela n'ignore pas le constat. Pour voir cela en pratique, vous pouvez ajouter noboost à un constat sur n'importe quelle ressource, créer une PR et fusionner la PR. Dans l'instance BoostSecurity de votre compte, vous pourrez voir le constat dans la page des constats avec le filtre "Type de Suppression" de Source Ignore. En consultant les détails de ce constat, vous le verrez étiqueté avec Supprimé dans le code et un info-bulle de commentaire boostignore.

Note

Le commentaire noboost peut être utilisé pour les vulnérabilités détectées dans votre base de code, c'est-à-dire les vulnérabilités liées aux scans SAST, Secret et IaC. Pour d'autres capacités de scan, le commentaire noboost ne peut pas être utilisé. De plus, certains formats de fichiers comme JSON ne supportent pas les commentaires. Dans ce cas, le commentaire noboost ne peut pas non plus être utilisé.

Comment puis-je ignorer plusieurs fichiers ou des répertoires entiers ?

BoostSecurity prend en charge l'ignorance de fichiers et de répertoires entiers en explorant deux solutions possibles :

• Vous pouvez aller à la page Boostignore et ajouter les fichiers et répertoires que vous souhaitez ignorer. Veuillez noter que le Boostignore global est formaté de la même manière que le fichier .gitignore.
• Commiter un fichier .boostignore à la racine du projet.

Le format du fichier est le même que pour les fichiers .gitignore, par exemple :

ignore-one-file
a/**
a/b/**/c/**

BoostSecurity recommande d'utiliser le fichier .boostignore publié qui réduira les faux positifs courants dans divers langages et frameworks.

Que faire si je veux une politique différente sur chaque dépôt ?

BoostSecurity prend en charge les politiques au niveau du dépôt en ajoutant une politique spécifique à chacun de vos dépôts, selon les besoins. Cela peut être fait sur la page de Couverture du Scanner. Il suffit de sélectionner le dépôt et de cliquer sur le bouton "Appliquer la Politique" pour appliquer la politique à ce dépôt.

Comment puis-je m'assurer que certains fichiers ne sont pas supprimés lors d'un scan Diff ?

BoostSecurity optimise le temps d'exécution de l'outil en scannant uniquement les fichiers modifiés (lorsque c'est approprié) lors des exécutions de pull request. Pour spécifier des fichiers critiques qui ne devraient pas être ignorés, un fichier .boostinclude peut être commité à la racine du projet. Ce fichier indique à BoostSecurity quels fichiers garder en permanence lors de la préparation du répertoire de travail pour un scan Diff et a le même format que le fichier .boostignore. Un exemple a été fourni ci-dessous :

# Scripts utilisés pour exécuter des outils :
bin/**/*

# Configuration pour les outils :
config/**/*

Comment puis-je réduire les notifications générées par un projet ?

Créez une politique pour "Tout Ignorer" et appliquez cette politique à la ressource (dépôt ou organisation).

Cette option est préférable si vous souhaitez conserver l'historique et la visibilité du projet sans recevoir d'alertes pour de futures constatations.

Utilisez les étapes suivantes pour mettre en œuvre cette option :

1. Créer une nouvelle politique
   1. Accédez à la page des Politiques.
   2. Cliquez sur le bouton Nouvelle Politique dans le coin supérieur droit de la page.
   3. Entrez le Nom de la politique et dans la Description, saisissez "Tout Ignorer"
   4. Dans la section Règles, cliquez sur le menu déroulant Sélectionner une Action et sélectionnez la case à cocher Ignorer.
   5. Cliquez sur le bouton Enregistrer pour soumettre la politique.
2. Appliquez les projets souhaités à la politique "Tout Ignorer"
   1. Accédez à la page de Couverture du Scanner, sélectionnez le projet ou l'organisation auxquels vous souhaitez appliquer la politique de silence
   2. Cliquez sur le bouton Appliquer la Politique et dans le menu déroulant Sélectionner la Politique affiché, sélectionnez la politique Tout Ignorer.
   3. Cliquez sur le bouton Appliquer.

Comment empêcher les échecs du scanner d'affecter mes pipelines ?

Le Scanner BoostSecurity peut être configuré pour ignorer la plupart des exceptions et retourner un code de sortie réussi en cas d'échec. Pour activer cela, vous pouvez soit passer l'option de ligne de commande --ignore-failures, soit définir la variable d'environnement BOOST_IGNORE_FAILURE=true.

Comment puis-je ajouter un autre administrateur à mon compte ?

Veuillez demander à un administrateur actuel de soumettre une demande comprenant l'adresse e-mail de cet utilisateur.

Comment puis-je supprimer une ressource (dépôt) ?

Actuellement, seul le Support peut supprimer un projet (appelé ressource, dépôt). Si un utilisateur souhaite qu'un dépôt soit supprimé de son compte, il devra en informer le support. Alternativement, il peut créer une Politique nommée Tout Ignorer et tout définir sur ignorer.

Veuillez demander à un administrateur actuel de soumettre une demande comprenant l'adresse e-mail de cet utilisateur.

Comment puis-je supprimer un projet ?

Pour supprimer un projet ("ressource") de votre compte, informez le Support, et nous le ferons pour vous.

Cette option est préférable si vous ne souhaitez plus voir le projet. Cependant, si vous souhaitez conserver le projet mais ne pas recevoir de notifications à son sujet, envisagez de réduire les notifications.

Comment créer une ID Google en utilisant une adresse e-mail non Google existante ?

Pour vous authentifier à l'aide de l'ID Google sans avoir d'adresse e-mail Google (Gmail), suivez les étapes ci-dessous :

1. Dans un navigateur, accédez à la page d'inscription pour créer un compte Google.
2. Sur la page d'accueil, saisissez votre prénom et nom (facultatif) et cliquez sur le bouton Suivant.
3. Sur la page suivante, entrez vos informations de base, y compris Date de Naissance et Genre.
4. Cliquez sur le bouton Suivant après avoir saisi les informations correctes.
5. Cliquez sur Utiliser un e-mail existant sur la page suivante.
6. Entrez l'adresse e-mail non Gmail que vous souhaitez associer à Google.
   • REMARQUE : Google validera l'adresse e-mail et le numéro de téléphone que vous utilisez.
7. Cliquez sur le bouton Suivant pour soumettre les détails et accéder à la page suivante.
8. Google enverra un code de vérification à votre adresse e-mail enregistrée. Obtenez ce code de vérification et soumettez-le dans le modal fourni à l'écran.
9. Ensuite, cliquez sur Suivant pour compléter l'inscription.

Le compte est lié avec succès.

Bien que vous ne puissiez pas utiliser Gmail, vous pouvez utiliser l'adresse e-mail pour vous connecter à BoostSecurity via Google Sign-In.

Une violation de politique a été trouvée dans une PR ; pourquoi ne puis-je pas la voir dans les constats ?

Si la violation a été résolue avant d'être fusionnée dans votre branche principale, alors elle n'est jamais survenue, donc il n'est pas nécessaire de l'ajouter à votre backlog.

BoostSecurity est conçu pour suivre les problèmes existants (comme le font les outils de sécurité traditionnels) tout en empêchant de nouveaux, c'est-à-dire éviter la "dette de sécurité". Si une Pull Request scannée contient un constat de sécurité, BoostSecurity suivra la Politique associée, qui peut inclure des commentaires sur une Pull Request. Si le constat dans cette Pull Request est atténué avant que le code ne soit fusionné, alors le constat n'existe pas dans la branche principale du code, et il n'y a rien à suivre pour le système.

Comment puis-je obtenir un rapport d'attestation de scan ?

Pour obtenir un rapport attestant quand BoostSecurity a effectué des scans récents :

1. Accédez à la page des Scans.
2. Dans le coin supérieur droit de la page, sélectionnez la période de temps pour le rapport en choisissant le menu déroulant : La Semaine Dernière, 2 semaines, 4 semaines.
3. Cliquez sur le bouton Envoyer le rapport juste en dessous du menu déroulant, et BoostSecurity enverra le rapport à l'adresse e-mail de votre compte.
4. Vérifiez votre boîte de réception pour un e-mail de "no-reply@boostsecurity.io" intitulé "Rapport de Scans Boost".

Comment puis-je savoir quand une vulnérabilité a été vue pour la dernière fois ?

La date affichée dans un constat est celle de sa première découverte. Pour savoir quand le constat a été vu pour la dernière fois, accédez à la page des Scans et filtrez par le nom de la Ressource dans laquelle se trouve le constat. La date du scan le plus récent est celle à laquelle la vulnérabilité a été vue pour la dernière fois.

Comment puis-je gérer les constats en masse ?

Gérer vos constats peut se faire de plusieurs manières. Cela peut inclure :

• Accéder à comment ignorer plusieurs fichiers ou des répertoires entiers via Boostignore.
• Supprimer une règle dans un scanner pour une politique.
• Sélectionner plusieurs constatations sur la page des constats, puis cliquer sur le menu déroulant Marquer Comme dans le coin supérieur droit de la page, et enfin sélectionner la désignation souhaitée.

Comment puis-je supprimer une règle dans un scanner pour une politique ?

Pour gérer vos constats en masse en ajoutant ou en supprimant une règle dans les Scanners d'une Politique, mettez à jour une Politique dans votre organisation BoostSecurity et ensuite exécutez un scan, un constat précédent lié à cette règle ne sera pas trouvé et donc ne sera plus affiché.

Pour expliquer cela plus en détail, suivez les étapes ci-dessous :

1. Accédez à la page des Politiques et cliquez sur la politique particulière que vous souhaitez mettre à jour.
2. Cliquez sur l'onglet Scanners sur la page "Politique".
3. Une liste de scanners s'affiche sous forme de liste de contrôle. Chaque scanner contient des groupes qui ont des règles pouvant être désélectionnées pour rendre cette règle inactive.
4. Désélectionnez/supprimez la règle du scanner du groupe.
5. Procédez à l'exécution du scan à nouveau, et vous ne verrez pas de constat lié à la règle qui a été supprimée.

Que faire si mon scan expire ?

Si vous voyez un rouge "Temps écoulé" sur la page des Scans, cela pourrait être dû au fait que le scanner prend plus de temps que d'habitude pour terminer le scan.

Vous pouvez résoudre cela en ajustant le temps de scan maximum de votre fichier de configuration (mesuré en secondes). Il suffit d'ajouter scan_timeout: 1200 au fichier sous la section with:, et le scanner peut s'exécuter jusqu'à 20 minutes (60 secondes 20 fois) comme indiqué dans le workflow de Sierra Enterprise. Le fichier de configuration peut être trouvé soit dans le dossier Pipeline/Actions de votre projet si vous effectuez une approvisionnement manuel, soit dans le dossier Pipeline/Actions du projet .boost en utilisant le Provisionnement sans Contact (ZTP).

Remarque : Les modifications manuelles apportées à un fichier boost.yml créé par ZTP seront écrasées la prochaine fois que la configuration ZTP sera modifiée.

Pourquoi mon SBOM est-il vide ?

Pour utiliser avec succès Trivy FS SBOM, vous devez fournir un fichier de verrouillage (.lockfile). Cependant, si vous traitez avec un conteneur, il est préférable de demander l'assistance de votre représentant du Client pour une analyse d'image Trivy sans avoir besoin du fichier de verrouillage.

Combien de temps BoostSecurity conserve-t-il les données ?

Nous valorisons votre vie privée et suivons une politique stricte de conservation des données. Pour en savoir plus sur la durée pendant laquelle nous conservons les données des clients et les directives que nous suivons, veuillez consulter notre Politique de Conservation des Données.

Comment puis-je désinstaller BoostSecurity ?

Pour désinstaller BoostSecurity pour chaque application de gestion de code source (SCM) prise en charge, suivez les étapes ci-dessous :

GitHub

1. Accédez à la page des Applications GitHub installées de votre organisation, par exemple, https://github.com/organizations/YOUR-ORGANIZATION/settings/installations.
2. Cliquez sur "Configurer" pour l'application GitHub BoostSecurity.io.
3. Faites défiler la page jusqu'à l'onglet "Zone de Danger".
4. Cliquez sur Désinstaller et ensuite ok pour confirmer la désinstallation.
5. Si nécessaire, désinstallez BoostSecurity Zero Touch Provisioning (ZTP) en cliquant sur "désinstaller" pour supprimer l'application.

GitLab

1. Accédez à la page d'intégrations de votre projet d'organisation, par exemple, https://gitlab.com/YOUR-ORGANIZATION/project/repository/-/settings/integrations.
2. Cliquez sur le bouton Révoquer pour "Provisionnement CI de BoostSecurity.io" dans l'onglet Applications autorisées de la page.
3. Cliquez sur "confirmer", et BoostSecurity sera supprimé de vos applications GitLab.

Bitbucket

1. Accédez à votre page de paramètres d'intégration, par exemple, https://bitbucket.org/YOUR-ORGANIZATION/workspace/settings/addon-management.
2. Cliquez sur le bouton supprimer pour l'application BoostSecurity BitBucket nommée "BoostSecurity" pour désinstaller l'application.
3. Si nécessaire, vous pouvez également désinstaller BoostSecurity Zero Touch Provisioning en cliquant sur le bouton supprimer pour ZTP.

Comment générer des rapports d'historique de scan

Utiliser la fonction de Rapport PDF d'historique des scans est simple :

1. Accédez à la page des Scans.

2. Cliquez sur le bouton Envoyer le Rapport situé en haut à droite de l'écran.

3. Un sélecteur de colonnes apparaîtra pour sélectionner les colonnes d'historique de scan à inclure dans le rapport. Les colonnes à choisir incluent Résultat (Violations), Statut, Scanner, Durée et Date.

4. Le rapport PDF sera envoyé à votre adresse e-mail enregistrée dans quelques minutes.

Comment reporter des constats

Pour reporter des constats, suivez les étapes ci-dessous :

1. Accédez à la Page des Constats.
2. Sélectionnez un ou plusieurs constats dans la liste des constats.
3. Cliquez sur le bouton "Marquer Comme" et sélectionnez "Reporter".
4. Sélectionnez une durée, entrez une justification et cliquez sur le bouton "soumettre".

Comment puis-je intégrer des Webhooks ?

1. Accédez à la page des Intégrations.
2. Faites défiler jusqu'à la section Disponible de la page et sélectionnez la carte Webhook.
3. Cliquez sur "Installer" et remplissez les détails suivants :
   • Nom du Canal : Nom de votre canal.
   • URL du Webhook : L'URL pour recevoir les notifications webhook.
   • Nom de l'En-tête : par exemple, x-token.
   • Valeur de l'En-tête : par exemple, token123.
4. Cliquez sur le bouton "Installer", et votre nouveau webhook sera disponible sous peu.

Comment mettre à jour le token d'accès personnel (PAT) de Azure DevOps ?

Pour mettre à jour votre token d'accès personnel (PAT) d'intégration à l'échelle du compte ADO :

1. Accédez à la page des intégrations et sélectionnez la carte d'intégration Compte Azure DevOps dans la section Installé.
2. Cliquez sur la ressource installée.
3. Sélectionnez l'option de mise à jour du PAT de la ressource.
4. Procédez à entrer le nouveau PAT sur la page suivante fournie.
5. Cliquez sur "Enregistrer" pour confirmer la mise à jour.

Comment mettre à jour le token d'accès du Compte GitLab ?

1. Accédez à la page des intégrations et sélectionnez la carte d'intégration Compte GitLab dans la section Installé.
2. Sélectionnez l'option de mise à jour du token d'accès de la ressource installée.
3. Procédez à saisir le nouvel accès sur la page suivante.
4. Cliquez sur le bouton Mettre à Jour pour enregistrer.

Comment puis-je déprovisionner un dépôt que j'ai provisionné avec ZTP ?

Sur la page de couverture d'analyse :

1. Sélectionnez les dépôts à déprovisionner.
2. Cliquez sur le bouton Provisionnement (en haut à droite).
3. Procédez à travers le modal et lorsque cela est possible, désélectionnez les scanners.
4. Cliquez sur "Terminer" pour enregistrer.
5. Une fois complété, les dépôts sélectionnés devraient être en état de Déprovisionnement et après un court laps de temps, ils devraient être complètement déprovisionnés.

Quels scanners fonctionnent par intervalles et quel est l'intervalle ?

24 heures :

• SCA de SBOM
• Licence OSS

1 heure :

• Dependabot
• CI/CD
• Scanners Tiers (Checkmarx, Blackduck, Snyk, etc.)

Tout scanner non mentionné dans la liste doit s'exécuter lorsqu'il y a un nouveau commit dans un dépôt. Les scanners SCA de SBOM et Licence s'exécuteront immédiatement après qu'un changement dans un SBOM soit détecté.

Comment créer une politique pour trouver des Problèmes de risque critique

1. Accédez à la page des Politiques et cliquez sur le bouton Nouvelle Politique dans le coin supérieur droit.
2. Fournissez un Nom et une Description pour votre politique, par exemple, Problèmes de Risque Critique.
3. Sélectionnez une action par défaut pour la règle.
4. Cliquez sur le bouton Ajouter une Règle.
5. Cliquez sur le bouton Ajouter une Action et sélectionnez la catégorie de règle Problème de Risque Critique et définissez-la sur Oui.
6. Sélectionnez une condition pour la catégorie de règle, par exemple, Échouer la vérification ou Envoyer une notification. Cliquez sur le bouton Enregistrer.
7. Ensuite, sélectionnez le Scanner BoostSecurity dans l'onglet Scanners.
8. Cliquez sur le bouton Enregistrer et tous les constats avec des Problèmes de Risque Critique apparaîtront maintenant sur la page des Constats.

Comment créer une politique pour gérer les secrets

1. Accédez à la page des Politiques et cliquez sur le bouton Nouvelle Politique dans le coin supérieur droit.
2. Fournissez un Nom et une Description pour votre politique, par exemple, Gestion des Secrets.
3. Sélectionnez une action par défaut pour la règle.
4. Cliquez sur le bouton Ajouter une Règle.
5. Cliquez sur le bouton Ajouter une Action et sélectionnez la catégorie de règle Type de Secret et définissez-la sur le nom du secret pour lequel obtenir des constats.
6. Sélectionnez une condition pour la catégorie de règle, par exemple, Échouer la vérification ou Envoyer une notification. Cliquez sur le bouton Enregistrer.
7. Ensuite, sélectionnez le Scanner Gitleaks dans l'onglet Scanners.
8. Cliquez sur le bouton Enregistrer et tous les constats avec le type de secret spécifique apparaîtront maintenant sur la page des Constats.

Comment BoostSecurity gère-t-il mon code source lors des scans ?

BoostSecurity effectue toutes les opérations de scan de code entièrement dans votre environnement CI. Cela signifie que votre code source n'est jamais transmis à BoostSecurity ni stocké par BoostSecurity.

Seuls les résultats du scan tels que les constats de vulnérabilité et les métadonnées sont envoyés au backend de BoostSecurity. Aucun code source ou contenu de dépôt n'est jamais téléchargé.

Lisez tous les détails dans notre documentation de Sécurité du Code Client.