Перейти к основному содержимому
Версия: 1.5.1

Инструменты безопасности

В этом разделе описаны действия по добавлению, изменению и удалению интеграций с инструментами безопасности, доступные инструменты безопасности и их версии, особенности работы с инструментом SASTAV, а также примеры интеграций с инструментами безопасности.

Доступные инструменты и их версии

В текущей версии системы поддерживаются следующие инструменты безопасности (см. таблицу ниже).

ИнструментВерсия
PT Application Inspector5.0
Kaspersky Container Security2.3
Solar AppScreener3.15.5
Aqua2022.4.759
CodeScoring2025.29.3
Grype0.106.0
KICS2.1.19
OWASP Dependency Track4.12.1
Trivy0.68
Semgrep1.146.0
ESLint9.39.2
PVS-Studio7.38
GitLab Advanced SAST3.0.0
AppSec.Sting2025.5
AppSec.Track3.19
Gitleaks8.30.0
SASTAV2.4.0
примечание

При создании проверки безопасности с помощью Solar AppScreener вы можете выбрать тип анализа (SAST, DAST или SCA).

Особенности работы с SASTAV

При работе с SASTAV учитывайте следующие моменты:

  1. При авторизации в рамках настройки интеграции с SASTAV необходимо использовать сервисную учетную запись SASTAV.
  2. При работе с SASTAV репозитории должны быть уникальными в рамках всех проектов системы. При создании проверок безопасности с идентичными источниками сканирования в разных проектах в SASTAV будет создан только один репозиторий.
  3. Результаты сканирования из общего репозитория SASTAV формируются в соответствующих проверках безопасности/проектах на этапе парсинга отчетов.
  4. При редактировании проверки безопасности доступен выбора типа репозитория:
    • Базовый — содержит ограничение по количеству строк кода до 15 000;
    • Расширенный — содержит ограничение по количеству строк кода до 1 млн. Это значение установлено по умолчанию.

Выбор типа репозитория

  1. По причине технических ограничений на количество SASTAV-репозиториев в TRON ASOC предусмотрена возможность указать максимальное число репозиториев. Для этого в настройках интеграции с SASTAV доступен параметр Максимальное количество репозиториев. При указании числового значения система контролирует количество активных репозиториев. Если значение параметра не задано, применяется максимальный лимит, доступный по лицензии SASTAV.

Выбор максимального количества репозиториев

  1. Также доступна очистка SASTAV-репозиториев, созданных TRON ASOC. Возможна как очистка репозиториев вручную, так и автоматическая очистка (например, при удалении проверки безопасности удаляется связанный SASTAV-репозиторий, если он больше не используется в проверках безопасности в TRON ASOC).

Очистка репозиториев

Подключение интеграции с инструментом безопасности

к сведению

Для настройки интеграций с инструментами безопасности пользователь должен иметь как минимум следующие права доступа:

  • Просмотр инструментов;
  • Управление инструментами.

Чтобы добавить новую интеграцию с инструментом безопасности, выполните следующие шаги:

  1. Перейдите в раздел Интеграции → Инструменты безопасности.
  2. Нажмите кнопку Добавить инструмент безопасности.
  3. Выберите необходимый инструмент безопасности из списка интеграций.

Выбор инструмента безопасности

  1. Заполните обязательные поля Название и Описание.

  2. Выберите тип доступа к инструменту:

    • Глобальный — при выборе этого типа доступа интеграция будет доступна во всех проектах;
    • Проектный — при выборе этого типа доступа интеграция будет доступна только в выбранных проектах. После выбора этого типа доступа также выберите один или несколько проектов, в которых будет доступна эта интеграция.

  3. Заполните дополнительные поля:

    • Описание инструмента;
    • URL;
    • Язык результатов сканирования;
    • Метод аутентификации.
    к сведению

    Набор дополнительных полей зависит от выбранного инструмента безопасности.

    Выбор метода аутентификации не является обязательным на этом шаге, однако проверка соединения с инструментом невозможна без указания метода аутентификации.

  4. Заполните поля в зависимости от выбранного метода аутентификации:

    • API-токен: поле API Токен
    • Логин/пароль: поля Логин и Пароль
    • Нет. Если выбран метод аутентификации Нет, то сканирование будет недоступно, но пользователь сможет импортировать результаты сканирования вручную.
    примечание

    Также для некоторых инструментов предусмотрены дополнительные настройки, основанные на полученных данных из интеграции с инструментом (данные для проверки лицензии, наличии ограничений инструмента и т.д.). Для инструмента CodeScoring могут использоваться уже существующие данные аутентификации, а также предусмотрены дополнительные параметры в настройке интеграции.

Выбор инструмента безопасности

  1. При необходимости проверьте соединение нажатием кнопки Проверить соединение.
предупреждение

Проверка соединения доступна только для методов аутентификации API-токен и Логин/пароль.

Вы можете проверить соединение только если вы ранее корректно ввели данные для аутентификации в инструменте безопасности. Если данные указаны верно, проверка соединения будет успешной. Если соединение не установлено, проверьте корректность введенных данных и повторите попытку.

  1. Нажмите кнопку Создать

Редактирование интеграции с инструментом безопасности

Чтобы отредактировать интеграцию с инструментом безопасности, выполните следующие шаги:

  1. Нажать на кнопку редактирования (Редактирование) в строке инструмента.
  2. В открывшейся форме измените необходимые параметры.
  3. Нажмите кнопку Сохранить

Удаление интеграцим с инструментом безопасности

Чтобы удалить интеграцию с инструментом безопасности, выполните следующие шаги:

  1. Нажмите кнопку удаления Удаление в строке инструмента
  2. Подтвердите удаление инструмента в открывшемся модальном окне.

Подтверждение удаления одного инструмента безопасности

Чтобы удалить несколько интеграций с инструментом безопасности, выполните следующие шаги:

  1. Выберите инструменты с помощью чекбоксов (Чекбокс)
  2. Нажмите кнопку удаления (Удалить), расположенную над таблицей инструментов.
  3. Подтвердите удаление инструментов в открывшемся модальном окне.

Подтверждение удаления нескольких инструментов безопасности

Примеры интеграций с инструментами безопасности

Добавление интеграции с PT Application Inspector

Чтобы добавить интеграцию с инструментом в систему, выполните следующие шаги:

  1. Перейдите в раздел Интеграции → Инструменты безопасности.

  2. Нажмите кнопку Добавить инструмент безопасности.

  3. Выберите PT Application Inspector из списка инструментов.

  4. Заполните поля в открывшейся форме:

    • Название интеграции — название должно быть уникальным;
    • Описание.

  5. Настройте параметры подключения:

    к сведению

    Вы можете указать метод аутентификации позже при добавлении проверки безопасности.

  6. Нажмите кнопку Проверить соединение.

предупреждение

Вы можете проверить соединение только если вы ранее корректно ввели данные для аутентификации в инструменте безопасности. Если данные указаны верно, проверка соединения будет успешной. Если соединение не установлено, проверьте корректность введенных данных и повторите попытку.

  1. Нажмите кнопку Сохранить.

Добавление интеграции с Kaspersky Container Security (KCS)

Чтобы добавить интеграцию с инструментом в систему, выполните следующие шаги:

  1. Перейдите в раздел Интеграции → Инструменты безопасности.

  2. Нажмите кнопку Добавить инструмент безопасности.

  3. Выберите Kaspersky Container Security из списка инструментов.

  4. Заполните обязательные поля:

    • Название;
    • Описание.

  5. Настройте параметры подключения:

    • URL;
    • Язык результатов сканирования;
    • Метод аутентификации (API Token).
    к сведению

    Вы можете указать метод аутентификации позже при добавлении проверки безопасности.

  6. Добавьте API-токен в поле Токен API

  7. Нажмите кнопку Проверить соединение.

предупреждение

Вы можете проверить соединение только если вы ранее корректно ввели данные для аутентификации в инструменте безопасности. Если данные указаны верно, проверка соединения будет успешной. Если соединение не установлено, проверьте корректность введенных данных и повторите попытку.

  1. Нажмите кнопку Сохранить.