Безопасная сборочная
Все компоненты РОСА Кубис собираются из исходных кодов и размещаются в репозитории на территории Российской Федерации. Для обеспечения безопасности эксплуатации реализована безопасная сборочная, которая включает в себя сканирование:
- SAST: Semgrep, GoSec, NodeJSScan, Bandit;
- SCA: Dependency-Track, Syft(генерация SBOM);
- Image-Scan: Trivy;
- Secret Detection: gitleaks (Pre-commit);
- DAST: OWASP ZAP (backend/front);
- Vulnerablity Management: DefectDojo.
Сканирование осуществляется ежедневно от момента выбора версии компонента, планируемой к включению в релиз, до выпуска релиза. Обнаруживаемые уязвимости уровней high/critical устраняются при возможности устранения или размечаются в случае невозможности эксплуатации уязвимости в Комплексе. Детальные отчеты с размеченными узявимостями по релизам доступны в базе знаний Service Desk.
Верхнеуровнево процесс сборки выглядит следующим образом (рисунок 374):
Рисунок 374 ‒ Процесс сборки