DEV Community

Cover image for Importando resultados no Jira Cloud
Ivo Dias for M3Corp

Posted on • Edited on

Importando resultados no Jira Cloud

Antes de começarmos, vamos precisar das API Credentials.

Instalando o plugin Veracode
Em sua conta do Jira Cloud, logado como administrador, vá até Settings > Apps para acessar a área de Marketplace do Jira:

Na área de pesquisa, digite: Veracode
Selecione o plugin conforme a imagem:

Ao acessar, clique em Install para iniciar a instalação

Configurando o plugin
Navegue por: Jira Cloud > Settings > Apps > Veracode Integration > Login Credentials
Adicione API ID e API KEY com base nos valores das API Credentials

Após adicionar, clicar em Test Credentials para checar se está tudo OK

Em seu projeto no Jira Cloud, identifique qual é a KEY dele. Geralmente é uma abreviação de 2 ou 3 letras do nome do seu projeto.
Adicione essa mesma KEY nos metadados do perfil de aplicação cadastrado na Veracode.
Para adicionar:
Veracode > Applications > Selecionar o perfil de aplicação > Metadata > Custom Fields > Adicionar a KEY do projeto do Jira Cloud em um dos custom fields > Save

Navegue em: Jira Cloud > Settings > Issues > Custom Fields
Após acessar a tela, digite na barra de pesquisa por veracode
Irá aparecer 2 opções: Veracode Link e Mitigation Status and Comments.
Nessas duas, iremos repetir o seguinte passo a passo:
Clicar no botão [...] > Associate to Screens

Identifique seus projetos do Jira Cloud que vão estar associados esses Custom Fields da Veracode.
Após identificar, basta selecionar as checkboxes para que esses Custom Fields sejam associados aos seus projetos e depois finalizar clicando no Update.

Em todos os projetos que você quiser importar os resultados da Veracode, deverá ter algumas screens adicionais associadas aos projetos.
Navegue em: Jira Cloud > Settings > Issues > Screens > clicar
no botão [...] do projeto > Configure

Selecione esses 3 campos:

  • Veracode link
  • Environment
  • Mitigation Status and Comments

Essas são screens padrões que contém informações que estarão contidas nos findings importados da Veracode.
Navegue em: Jira Cloud > Settings > Apps > Veracode Integration > Findings Import
Selecione os campos desejados conforme sua necessidade
Exemplo: Para importar resultados dos scans SAST, DAST e SCA, basta selecionar os 2 primeiros checkboxes:

Na opção Filter Import By, temos opções para importar:
Os resultados dos últimos scans, somente os que afetam as políticas de segurança, etc...
Pode saber mais aqui.

Selecione o Issue Type para aplicar a cada resultado importado da Veracode, no nosso exemplo secionamos Bug

Em Import Issues Into: selecione o Custom Field do projeto da Veracode que contém o project Key do Jira

Essa configuração nos permite ter diversos projetos do Jira atreladas a diferentes aplicações cadastradas no Veracode.
Assim, os issues de cada aplicação estarão associados aos respectivos projetos no Jira Cloud

Selecionamos os checkboxes CWE and CVE as label, e Severity as label, para facilitar no tracking das issues criadas.
Caso desejar, você também pode adicionar outras labels digitando no campo String as label.

Por fim, em Automated Issue Management, você pode escolher entre as duas opções: Fechar o ticket ou não fechar os tickets em casos que houver mitigações (medidas paliativas para evitar explorações) para as falhas

Agora deveremos colocar o Jira User ID no campo JIRA User
Para localizar o User ID basta clicar no botão do perfil de usuário > Profile > e na URL identificar a string do JIRA User ID

Mapeando os campos
Para fazer o mapeamento dos campos de informações da Veracode para o Jira Cloud, navegamos por:

  • Jira Cloud > Apps > Veracode Integration > Field
  • Mappings
  • Aqui teremos todos os campos de informações e metadados da Veracode disponíveis e que podem estar presentes nos tickets criados para ter mais detalhes sobre as vulnerabilidades.
  • Basta associá-los aos campos disponíveis ou criados por você no Jira, selecionando o campo da Veracode e o respectivo campo do Jira Cloud. Mais detalhes

Importando as issues
Navegue: Jira Cloud > Settings > Apps > Veracode Integration
O Plugin te possibilita fazer 3 tipos de importações:

  1. One Time Import – Importação por demanda. Você pode inclusive selecionar quantas issues/tickets serão importados de uma vez
  2. Selective Import – Selecione quais vulnerabilidades dos projetos você deseja importar
  3. Veracode Automated import – Você seleciona o horário, frequência e quantidade de issues/tickets serão criadas

Verificando o ticket aberto
Assim que a opção de importação for escolhida, basta aguardar e analisar o ticket/issue criada dentro do projeto que você
configurou:

Escrito originalmente por Lucas Ferreira

Top comments (0)