Merge branch 'sfera_plugin' into 'master'

add sfera plugin

See merge request CodeScoring/docs!575

Author: amaksimovv

docs/changelog/sfera-changelog.en.md

@@ -0,0 +1,22 @@
+---
+hide:
+  - footer
+---
+
+# Sfera plugin changelog
+
+### [2025.52.0] - 2025-12-30
+
+#### Added
+
+- Initial release of the Sfera plugin
+- Support for the following repository formats:
+    - Maven
+    - NPM
+    - NuGet
+    - PyPI
+    - RubyGems
+    - Go
+    - APT (Debian)
+    - YUM (RPM)
+    - Docker

docs/changelog/sfera-changelog.md

@@ -0,0 +1,22 @@
+---
+hide:
+  - footer
+---
+
+# Changelog плагина для Sfera
+
+### [2025.52.0] - 2025-12-30
+
+#### Добавлено
+
+- Первый релиз плагина для Sfera
+- Поддержка следующих форматов репозиториев:
+    - Maven
+    - NPM
+    - NuGet
+    - PyPI
+    - RubyGems
+    - Go
+    - APT (Debian)
+    - YUM (RPM)
+    - Docker

docs/osa/sfera_osa.en.md

@@ -0,0 +1,154 @@
+---
+hide:
+  - footer
+---
+
+# Sfera plugin
+
+## Plugin installation
+
+The plugin is delivered as a jar-file.
+
+To install the plugin in **Sfera**, you need to:
+
+1.  Place the plugin jar file and config file `codescoring.yaml` into the `plugins` folder located in the application's PPDL working directory.
+2.  (*Optional*) To manage enabling/disabling of plugins, you can create `enabled.txt` or `disabled.txt` files in the `plugins` folder.
+    *   The file should list the names of the plugins to be enabled or disabled.
+    *   Enable/Disable logic:
+        *   plugin in `disabled.txt` - disabled;
+        *   `enabled.txt` is not empty and does not contain the plugin - disabled;
+        *   in other cases, the plugin is enabled.
+
+## Plugin configuration
+
+The `codescoring.yaml` file is used to configure the plugin.
+
+Example file content:
+
+```yaml
+
+codeScoringAPI:
+  # The base URL for all CodeScoring API endpoints.
+  # Required.
+  # Example: https://host:port or https://host
+  url:
+
+  # Your CodeScoring API Token for authentication.
+  # Required.
+  token:
+
+  # Http client connection pool size to CodeScoring BE service.
+  connectionPoolSize: 50
+
+  # By default, if CodeScoring API hasn't responded within a duration of 60 seconds, the request will be cancelled.
+  # This property lets you customize the timeout duration in seconds.
+  timeout: 60
+
+  # If you are using a proxy, you must provide both Hostname/IP and port.
+  proxy:
+    host:
+    port:
+
+# If set to 'false' allows artifact downloads regardless of errors from CodeScoringAPI or plugin
+blockOnErrors: true
+
+# If set to 'true', the plugin will scan all supported repositories
+# except specified in the "excludeRepositories" section.
+scanAllRepositories: false
+
+# Default settings for all repositories. Can be overridden by repositories.repo-name settings
+defaults:
+  dockerRegistryUrl: registry.my.domain
+
+  # warmup |  Scan cache warmup without requests monitoring, no blocking
+  # spectator | Scan cache warmup with requests monitoring, no blocking
+  # moderate | Policy-based blocking using cache results, not scanned component downloads allowed
+  # strict | Policy-based blocking using cache results, not scanned component downloads blocked
+  # strict_wait | Policy-based blocking, wait until component is scanned
+  # default value is strict_wait if not specified in default or repository settings or in case of a typo
+  workMode: strict_wait
+
+  # Allows this user to skip scan
+  skipScanUser: codescoring
+
+  # Repository Manager url for CodeScoring to apply policies.
+  # Value MUST BE equal to Repository Manager URL in CodeScoring
+  # Example: https://sfera.my.domain.ru
+  repositoryManagerUrl:
+
+# Settings per repository
+# Example:
+# repositories:
+#   docker-remote:
+#   docker-local:
+#     dockerRegistryUrl: another-registry.my.domain
+#     skipScanUser: anotheruser
+#     workMode: spectator
+#   pypi-remote:
+#     workMode: warmup
+repositories:
+
+# List of the excluded repositories. Used, if scanAllRepositories=true
+# Example:
+# excludeRepositories:
+#   - npm-remote
+#   - maven-local
+excludeRepositories:
+
+# List of repository types to scan. Used, if scanAllRepositories=true
+# Supported values are: maven, npm, pypi, nuget, go, gems, debian, yum, alpine, docker
+# Example:
+# repositoryTypes:
+#   - npm
+#   - go
+repositoryTypes:
+```
+
+### Parameter Description
+
+- **codeScoringAPI** - configuration parameters for plugin interaction with the CodeScoring platform;
+  - **url** – CodeScoring platform address (protocol must be specified);
+  - **token** – API key for authorization (*Created in CodeScoring section `Profile -> Home`*);
+  - **connectionPoolSize** – connection pool size for CodeScoring platform;
+  - **timeout** - response timeout (in seconds). By default, if CodeScoring API does not respond within 60 seconds, the request will be cancelled;
+  - **proxy** - proxy server settings;
+    - **host** - host/IP;
+    - **port** - port;
+- **blockOnErrors** - block component downloads in case of an error during interaction with the CodeScoring platform;
+- **scanAllRepositories** - enable scanning for all supported repositories except those specified in the **excludeRepositories** parameter;
+- **defaults** – default scanning settings for all connected repositories;
+  - **dockerRegistryUrl** – docker registry address;
+  - **workMode** – plugin operation mode. Conditions for each mode are described in the section below;
+  - **skipScanUser** – user for whom component scanning is skipped. Necessary so that CodeScoring can independently retrieve the component for scanning;
+  - **repositoryManagerUrl** - Sfera URL. The same URL must be specified in CodeScoring to apply policies by repositories.
+- **repositories** – list of repositories for which component scanning is active. Parameters can be specified separately for each repository, same as in **defaults**;
+- **excludeRepositories** - list of repository names excluded from processing by the plugin.
+
+### Work Mode Configuration
+
+The plugin's operation mode is determined by the **workMode** variable in the `codescoring.yaml` file.
+
+The plugin has 6 modes of operation that determine the strictness of component verification before download.
+
+- **warmup** – load data into CodeScoring cache without blocking components;
+- **spectator** – load data into CodeScoring cache without blocking components, save component request results on the platform;
+- **moderate** – block components that fail policy checks. Downloading unscanned components is allowed;
+- **strict** – block components that fail policy checks. Downloading unscanned components is forbidden;
+- **strict_wait** – block components that fail policy checks. Wait for verification for unscanned components.
+
+**Important**: the selected operation mode will affect **all** repositories specified in the `repositories` variable.
+
+## Component Blocking
+
+When a component download is blocked, one of the following blocking reasons is displayed in the user console:
+
+- **"The download has been blocked in accordance with the policies configured in CodeScoring"** – component blocked according to policies configured on the platform;
+- **"The component has not yet been scanned by CodeScoring, it is scheduled to be scanned shortly. The download is blocked according to the plugin settings"** – blocked unscanned component with subsequent scan initiation. Used in `strict` mode;
+- **"The download has been blocked due to the failure of the scan of the component in CodeScoring"** – failed to scan the component;
+- **"The download has been blocked due to the wrong mode of the plugin"** – incorrect [plugin operation mode](#work-mode-configuration) is used;
+- **"The download has been blocked due to the timeout of the scan of the component in CodeScoring"** – component scan timeout expired. Used in `strict_wait` mode;
+- **"The download has been blocked, because registry is not configured in CodeScoring"** – corresponding Registry is missing in the platform.
+
+The response also contains a link to the component page in CodeScoring with information about triggered security policies and found vulnerabilities:
+
+![Component page](/assets/img/osa/component-page.png)

docs/osa/sfera_osa.md

@@ -0,0 +1,154 @@
+---
+hide:
+  - footer
+---
+
+# Плагин для Sfera
+
+## Установка плагина
+
+Плагин поставляется в виде jar-файла.
+
+Для установки плагина в **Sfera** необходимо:
+
+1.  Поместить jar-файл плагина и файл конфигурации `codescoring.yaml` в папку `plugins`, находящуюся в рабочей директории PPDL приложения.
+2.  (*Опционально*) Для управления включением/отключением плагинов можно создать в папке `plugins` файлы `enabled.txt` или `disabled.txt`.
+    *   В файле должны быть перечислены имена включаемых/отключаемых плагинов.
+    *   Логика включения/выключения:
+        *   плагин в `disabled.txt` - отключен;
+        *   `enabled.txt` не пуст и при этом не содержит плагин - отключен;
+        *   в остальных случаях плагин включен.
+
+## Настройка плагина
+
+Для настройки плагина используется файл `codescoring.yaml`.
+
+Пример содержания файла:
+
+```yaml
+
+codeScoringAPI:
+  # Базовый URL для всех эндпоинтов CodeScoring API.
+  # Обязательный параметр.
+  # Пример: https://host:port или https://host
+  url:
+
+  # Ваш API токен CodeScoring для аутентификации.
+  # Обязательный параметр.
+  token:
+
+  # Размер пула соединений HTTP-клиента к сервису CodeScoring BE.
+  connectionPoolSize: 50
+
+  # По умолчанию, если CodeScoring API не ответил в течение 60 секунд, запрос будет отменен.
+  # Этот параметр позволяет настроить длительность таймаута в секундах.
+  timeout: 60
+
+  # Если вы используете прокси, необходимо указать Hostname/IP и порт.
+  proxy:
+    host:
+    port:
+
+# Если установлено значение 'false', разрешает загрузку артефактов независимо от ошибок CodeScoringAPI или плагина
+blockOnErrors: true
+
+# Если установлено значение 'true', плагин будет сканировать все поддерживаемые репозитории,
+# за исключением указанных в разделе "excludeRepositories".
+scanAllRepositories: false
+
+# Настройки по умолчанию для всех репозиториев. Могут быть переопределены в настройках конкретных репозиториев (repositories.repo-name)
+defaults:
+  dockerRegistryUrl: registry.my.domain
+
+  # warmup | Прогрев кэша сканирования без мониторинга запросов, без блокировки
+  # spectator | Прогрев кэша сканирования с мониторингом запросов, без блокировки
+  # moderate | Блокировка на основе политик с использованием результатов кэша, разрешена загрузка непросканированных компонентов
+  # strict | Блокировка на основе политик с использованием результатов кэша, загрузка непросканированных компонентов заблокирована
+  # strict_wait | Блокировка на основе политик, ожидание завершения сканирования компонента
+  # значение по умолчанию — strict_wait, если оно не указано в настройках или в случае опечатки
+  workMode: strict_wait
+
+  # Позволяет этому пользователю пропускать сканирование
+  skipScanUser: codescoring
+
+  # URL менеджера репозиториев для применения политик CodeScoring.
+  # Значение ДОЛЖНО быть равно Repository Manager URL в CodeScoring
+  # Пример: https://sfera.my.domain.ru
+  repositoryManagerUrl:
+
+# Настройки для конкретных репозиториев
+# Пример:
+# repositories:
+#   docker-remote:
+#   docker-local:
+#     dockerRegistryUrl: another-registry.my.domain
+#     skipScanUser: anotheruser
+#     workMode: spectator
+#   pypi-remote:
+#     workMode: warmup
+repositories:
+
+# Список исключенных репозиториев. Используется, если scanAllRepositories=true
+# Пример:
+# excludeRepositories:
+#   - npm-remote
+#   - maven-local
+excludeRepositories:
+
+# Список типов репозиториев для сканирования. Используется, если scanAllRepositories=true
+# Поддерживаемые значения: maven, npm, pypi, nuget, go, gems, debian, yum, alpine, docker
+# Пример:
+# repositoryTypes:
+#   - npm
+#   - go
+repositoryTypes:
+```
+
+### Описание параметров
+
+- **codeScoringAPI** - настройки параметров взаимодействия плагина с платформой CodeScoring;
+  - **url** – адрес платформы CodeScoring (обязательно указание протокола);
+  - **token** – ключ для авторизации вызовов API (*Создается из CodeScoring раздела `Profile -> Home`*);
+  - **connectionPoolSize** – размер пула соединений с платформой CodeScoring;
+  - **timeout** - время ожидания ответа (в секундах). По умолчанию, если CodeScoring API не отвечает в течение 60 секунд, запрос будет отменен;
+  - **proxy** - настройки прокси-сервера;
+    - **host** - хост/IP;
+    - **port** - порт;
+- **blockOnErrors** - блокирование загрузки компонентов в случае ошибки при взаимодействии с платформой CodeScoring;
+- **scanAllRepositories** - подключение всех поддерживаемых репозиториев за исключением указанных в параметре **excludeRepositories**;
+- **defaults** – настройки сканирования по умолчанию для всех подключенных репозиториев;
+  - **dockerRegistryUrl** – адрес docker registry;
+  - **workMode** – режим работы плагина. Условия каждого режима работы описаны в секции ниже;
+  - **skipScanUser** – пользователь, для которого пропускается сканирование компонентов. Необходимо для того, чтобы CodeScoring мог самостоятельно забрать компонент для сканирования;
+  - **repositoryManagerUrl** - URL Sfera. Тот же URL должен быть указан в CodeScoring для применения политик по репозиториям.
+- **repositories** – список репозиториев, для которых работает сканирование компонентов. Для каждого репозитория можно отдельно указать параметры, как в параметре **defaults**;
+- **excludeRepositories** - список названий репозиториев, исключенных из обработки плагином.
+
+### Настройка режимов работы {: #work-mode-configuration }
+
+Режим работы плагина определяется переменной **workMode** в файле `codescoring.yaml`.
+
+Плагин имеет 6 режимов работы, определяющих строгость проверки компонентов перед загрузкой.
+
+- **warmup** – загрузка данных в кэш CodeScoring без блокировки компонентов;
+- **spectator** – загрузка данных в кэш CodeScoring без блокировки компонентов, сохранение результатов запросов компонентов на платформе;
+- **moderate** – блокировка компонентов, не прошедших проверку политик. Разрешена загрузка непросканированных компонентов;
+- **strict** – блокировка компонентов, не прошедших проверку политик. Запрещена загрузка непросканированных компонентов;
+- **strict_wait** – блокировка компонентов, не прошедших проверку политик. Ожидание проверки для непросканированных компонентов.
+
+**Важно**: выбранный режим работы будет влиять на **все** репозитории, указанные в переменной `repositories`.
+
+## Блокировка компонента
+
+При блокировании загрузки компонента в консоли пользователя отображается одна из следующих причин блокировки:
+
+- **"The download has been blocked in accordance with the policies configured in CodeScoring"** – блокировка компонента согласно настроенным на платформе политикам;
+- **"The component has not yet been scanned by CodeScoring, it is scheduled to be scanned shortly. The download is blocked according to the plugin settings"** – блокировка непросканированного компонента с последующим запуском сканирования. Используется в режиме `strict`;
+- **"The download has been blocked due to the failure of the scan of the component in CodeScoring"** – не удалось просканировать компонент;
+- **"The download has been blocked due to the wrong mode of the plugin"** – используется некорректный [режим работы плагина](#work-mode-configuration);
+- **"The download has been blocked due to the timeout of the scan of the component in CodeScoring"** – истекло время ожидания сканирования компонента. Используется в режиме `strict_wait`;
+- **"The download has been blocked, because registry is not configured in CodeScoring"** – отсутствует соответствующий Registry в платформе.
+
+Ответ также содержит ссылку на страницу компонента в CodeScoring с информацией о сработавших политиках безопасности и найденных уязвимостях:
+
+![Component page](/assets/img/osa/component-page.png)