Aller au contenu

Catégories de Règles de Politique

Lors de la création d'une nouvelle politique ou de la mise à jour d'une précédente, il existe des catégories de règles que vous pouvez définir lorsque vous ajoutez des règles à la politique. Les actions vous aident à définir des déclencheurs et des réponses pour les résultats sous cette règle.

Note

Une politique sans règles revient à l'action par défaut. Vous pouvez ajouter des règles à la politique pour définir des règles personnalisées avec des conditions de filtrage avancées pour les résultats.

Ces catégories pour votre politique incluent :

  • Score OpenSSF : Cette action vérifie l'OpenSSF. Le score OpenSSF est une collection de métriques de santé de sécurité pour le logiciel open source, permettant aux utilisateurs d'évaluer les pratiques de sécurité d'un paquet open source dans votre code.
  • Score EPSS : Cela peut être utilisé pour cibler l'EPSS dans votre code. EPSS (Exploit Prediction Scoring System) mesure la probabilité qu'une vulnérabilité particulière soit exploitée.
  • Score CVSS : Le CVSS génère un score de 0 à 10 basé sur la gravité d'une vulnérabilité.
  • Confiance : Cette action vérifiera les scénarios où le niveau de confiance d'une vulnérabilité est élevé, moyen ou faible.
  • Gravité : Cette action vérifie la gravité des résultats dans des états Critique, Avertissement ou Mineur.
  • Accessibilité Internet : Vérifie si un composant ou une ressource est accessible depuis Internet. Sa valeur est représentée comme Accessible.
  • Expositions de Code : Cette action examine la composition de votre code d'application, qu'il expose des composants clés tels que des APIs, ou l'utilisation de bibliothèques tierces risquées qui peuvent entraîner des violations de sécurité.
  • Problèmes de Risque Critique : Cette action cible les problèmes qui posent un risque critique pour votre environnement ou application. Cela inclut des vulnérabilités à haute gravité ou des configurations incorrectes qui nécessitent une attention immédiate.
  • Tags Manuels : Cette action évalue les ressources basées sur des tags manuels personnalisés assignés dans votre environnement.
  • Dépendance de Développement : Cette action détermine si une dépendance est uniquement utilisée lors du développement. Ses valeurs correspondantes sont Oui, Exécution, ou Inconnu.
  • Cluster Kubernetes : Cette action vérifie la configuration et la sécurité de vos clusters Kubernetes, s'assurant qu'ils sont configurés de manière sécurisée et selon les meilleures pratiques.
  • Service Kubernetes : Cette action évalue la configuration et la sécurité de vos services Kubernetes, garantissant qu'ils sont correctement configurés et sécurisés.
  • Classe de Vulnérabilité : Vérifie la classe ou la catégorie d'une vulnérabilité, aidant à regrouper et appliquer des règles en fonction de la nature du problème de sécurité (par ex., XSS, Injection, etc.).
  • Informations Personnelles : Cette action scanne pour des informations personnelles dans votre code, s'assurant que des données sensibles ne sont pas exposées par inadvertance.
  • Code Vulnérable Accessible : Cette action vérifie si la portion vulnérable du code est réellement accessible en temps d'exécution.
  • Drapeau de Dépôt : Cette action vérifie s'il existe des drapeaux spécifiques dans vos dépôts, ce qui peut indiquer certaines conditions ou états à traiter.
  • Étiquettes de Dépôt : Cette action examine les étiquettes assignées à vos dépôts, s'assurant qu'elles sont correctement étiquetées pour l'application et la gestion de la politique.
  • Langages de Dépôt : Cette action identifie les langages de programmation utilisés dans vos dépôts, aidant à faire respecter des politiques de sécurité spécifiques à chaque langage.
  • Visibilité de Dépôt : Cette action examine les paramètres de visibilité de vos dépôts, s'assurant qu'ils sont correctement réglés en public ou privé selon vos politiques de sécurité.
  • Accès Root : Cette action identifie les cas où des codes, scripts ou conteneurs s'exécutent avec des permissions de niveau root, ce qui pourrait introduire des risques de sécurité sérieux si non contrôlés.
  • Dépôt Forké : Cette action détermine si un dépôt est un fork d'un autre, ce qui peut influencer le niveau de confiance ou les processus de révision.
  • Accessibilité des Données Sensibles : Cette action évalue si des données sensibles dans votre système sont accessibles basé sur l'analyse du flux de code. Cela aide à identifier les cheminements potentiels qui pourraient exposer des informations confidentielles à un accès non autorisé.
  • Scanner : Cette action identifie les scanners utilisés pour vérifier votre code pour des vulnérabilités, s'assurant que les outils de scan appropriés sont en place et configurés correctement.
  • Type de Secret : Cette action spécifie le type de secret que la règle vérifie.
  • Validité du Secret : Cette action vérifie la validité d'un secret s'il est Valide, Invalide ou Inconnu.
  • États : Cette action examine les divers états des résultats et des vulnérabilités dans votre code, tels qu'ouvert, corrigé ou ignoré.
  • Vulnérabilité Transitive : Cette action vérifie les vulnérabilités héritées des dépendances de vos dépendances, garantissant une évaluation approfondie de la sécurité de votre code.
  • Identifiants de Vulnérabilité : Cette action examine les identifiants spécifiques associés aux vulnérabilités dans votre code, s'assurant que tous les problèmes connus sont suivis et traités.
  • Utilisateur Privilégié : Cette action cible les résultats associés aux utilisateurs ou comptes de service ayant des privilèges élevés. Elle permet de vérifier les politiques concernant les risques de contrôle d'accès ou d'attribution de permissions incorrectes.