ASPM v1.5.0
I. Thông tin nổi bật
FPT Smart Cloud giới thiệu phiên bản mới của tính năng AppSec thuộc nền tảng FPT Security Platform (FSP) với khả năng kiểm soát bảo mật source code ngay trong quy trình MR/PR thông qua Security Gate.
Phiên bản này bổ sung cơ chế đánh giá PASS/FAIL tự động dựa trên kết quả security scan và các threshold bảo mật được cấu hình theo từng loại scan như Code Analysis, Secret Scanning và IaC Scanning. Điều này giúp doanh nghiệp ngăn chặn source code chứa lỗ hổng hoặc secrets vượt ngưỡng cho phép trước khi merge vào branch chính. Hệ thống cũng hỗ trợ merge scan mode thông qua CI/CD pipeline, cung cấp cURL examples cho MR/PR scan và trả kết quả qua API để tích hợp vào quy trình DevSecOps hiện có.
II. Tính năng released
1. MR/PR Scan
a. Mô tả
Hệ thống hỗ trợ người dùng trigger MR/PR scan thông qua CI/CD pipeline nhằm kiểm tra chất lượng và mức độ an toàn của source code trước khi merge vào branch chính. Phiên bản này bổ sung hỗ trợ merge scan mode giúp đánh giá kết quả scan trực tiếp trên luồng MR/PR.
b. Tính năng
- Hỗ trợ trigger MR/PR scan thông qua CI/CD pipeline
- Bổ sung chế độ merge scan cho quy trình MR/PR
- Hỗ trợ cURL example cho merge scan mode: Scan Code và Scan Secret
- Trả về kết quả scan thông qua API để tích hợp vào pipeline CI/CD
- Hỗ trợ đánh giá PASS/FAIL khi kết hợp với Security Gate
c. Giới hạn
- Hỗ trợ scan đồng thời nhiều MR/PR requests
- Hỗ trợ tích hợp với nhiều CI/CD pipeline khác nhau
- Hỗ trợ nhiều loại scan security trong cùng quy trình MR/PR
d. Hiệu năng
- Thời gian trigger scan nhanh thông qua API
- Kết quả scan được trả về tự động trong pipeline
- Tối ưu xử lý scan cho workflow MR/PR
2. Security Gate
a. Mô tả
Security Gate giúp kiểm soát mức độ an toàn của source code trước khi merge MR/PR thông qua các điều kiện bảo mật (Security Conditions). Hệ thống đánh giá kết quả scan dựa trên các threshold được cấu hình để quyết định MR/PR được PASS hoặc FAIL.
b. Tính năng
- Hỗ trợ Enable/Disable Security Gate theo tổ chức
- Hiển thị trạng thái Security Gate: Active / Inactive
- Kiểm tra MR/PR scan theo Security Conditions đã cấu hình
- Cấu hình threshold theo từng loại scan: Code Analysis, Secret Scanning, IaC Scanning
- Cấu hình threshold theo severity: Max Criticals, Max Highs, Max Mediums, Max Lows
- Chỉnh sửa cấu hình Security Gate qua chức năng Edit
- Áp dụng Security Gate theo danh sách repositories
- Tìm kiếm repository theo repository path
- Tự động áp dụng Security Gate cho repository mới được scan
- Popup xác nhận khi Enable/Disable Security Gate
- Trả về kết quả PASS/FAIL thông qua API trong CI/CD pipeline
- Hiển thị trạng thái Security Gate tại Asset Management và Asset Detail → tab Overview
c. Giới hạn
- Hỗ trợ quản lý và áp dụng Security Gate cho nhiều repositories
- Hỗ trợ nhiều loại scan security đồng thời trong một policy
- Hỗ trợ xử lý MR/PR scan theo repository scope đã cấu hình
d. Hiệu năng
- Thời gian tải màn hình Security Gate nhanh
- Thời gian cập nhật trạng thái Enable/Disable nhanh
- Tối ưu hiển thị danh sách repositories và security conditions
- Kết quả đánh giá MR/PR được xử lý tự động theo cấu hình Security Gate hiện tại