Consolidation de l'analyseur Boost¶

Veuillez lire l'intégralité du message, car des mises à jour sont nécessaires de votre part pour garantir qu'il n'y ait pas d'interruption de couverture !

Dans notre effort continu pour élargir et améliorer notre capacité à identifier et prioriser les risques au sein de votre code source et de votre chaîne d'approvisionnement, nous sommes ravis d'annoncer une mise à jour qui aura un impact sur vos politiques et votre couverture actuelles au sein de Boost.

Qu'est-ce qui change ?¶

Cette mise à jour supprimera les analyseurs suivants :

L'analyseur CI/CD pour (Azure DevOps, Bitbucket, GitHub et GitLab)
L'analyseur de Chaîne d'Approvisionnement pour (Azure DevOps, Bitbucket, GitHub et GitLab)
BoostSecurity SCA de SBOM
Licence OSS BoostSecurity
Inventaire de Chaîne d'Approvisionnement BoostSecurity

Mais toutes leurs capacités combinées seront ajoutées au Scanner BoostSecurity, et ce scanner sera désormais activé automatiquement par défaut pour tous les actifs nouvellement découverts. Tous les actifs qui existaient déjà dans Boost avant la publication de cette nouvelle fonctionnalité nécessiteront toutefois que vous provisionniez vous-même l'analyseur BoostSecurity.

Comment cela vous aide-t-il ?¶

Cette démarche simplifie grandement l'intégration et les opérations quotidiennes de couverture des analyseurs au sein de Boost à l'avenir. Tous les actifs bénéficieront d'un niveau minimal de CI/CD, d'Inventaire de Chaîne d'Approvisionnement, et de tous les enrichissements pertinents à un SBOM (si vous choisissez d'en générer un) sur chaque actif !

Qui est concerné ?¶

Toute personne utilisant un ou plusieurs des analyseurs de la liste ci-dessus verra cette couverture disparaître à moins qu'elle ne provisionne le "Scanner BoostSecurity" sur ces ressources.

De plus, quiconque ayant une politique personnalisée devra mettre à jour cet ensemble de règles de politique pour tirer parti des nouvelles règles ajoutées à l'analyseur BoostSecurity.

Que devez-vous faire ?¶

Provisionner l'analyseur BoostSecurity¶

Étant donné que l'analyseur BoostSecurity est recommandé pour tous les actifs, nous vous conseillons de suivre ces étapes pour l'activer dans votre portefeuille. Si, toutefois, vous avez des actifs pour lesquels vous ne souhaitez aucune couverture, veuillez retirer ces actifs de la sélection avant de provisionner l'analyseur BoostSecurity.

Boost recommande d'aller sur la page de Couverture des Scanners.
Sélectionnez tous vos actifs de dépôt en cliquant sur le bouton “Sélectionner tous les dépôts” sur chaque connexion.
Cliquez sur “Provisionnement”.
Changez la case à cocher à côté de l'analyseur BoostSecurity pour qu'elle soit cochée, mais ne changez rien d'autre (note : selon si vous avez déjà provisionné l'analyseur BoostSecurity sur 1 ou plusieurs de vos dépôts sélectionnés, cette case à cocher peut commencer par un tiret (-). Vous devrez vous assurer que cela soit changé en une coche avant de continuer)
Cliquez sur Terminer

Mettez à jour vos politiques existantes¶

Pour toutes les politiques du Policy Designer qui existent déjà dans votre système, l'analyseur BoostSecurity aura un grand nombre de nouvelles règles issues des analyseurs consolidés qui ne seront pas sélectionnées par défaut. Pour vous assurer que les nouvelles capacités de ce scanner mis à jour sont exploitées, vous devez effectuer les actions suivantes.

Accédez à la page “Politiques”
Cliquez sur chaque politique avec Source répertoriée comme “Policy Designer”.
Cliquez sur l'onglet “Scanners” dans chaque politique
Faites défiler jusqu'au “Scanner BoostSecurity” (notez qu'il affiche un tiret au lieu d'une coche, indiquant que toutes les règles ne sont pas sélectionnées)
Développez la liste des règles de l'analyseur et sélectionnez les cases vides
Cliquez sur Enregistrer en bas de l'écran (N'OUBLIEZ PAS CETTE ÉTAPE !)
Répétez pour toutes vos politiques personnalisées