Версия: 1.4

Инструменты безопасности

Просмотр всех подключенных инструментов безопасности доступен в разделе Интеграции → Инструменты безопасности. Функционал позволяет также добавлять новые инструменты, редактировать и удалять существующие.

Поддерживаемые инструменты безопасности

PT Application Inspector
Kaspersky Container Security
Solar AppScreener
Aqua
CodeScoring
Grype
KICS
OWASP Dependency Track
Trivy
Semgrep
ESLint
PVS-Studio
GitLab Advanced SAST
AppSec.Sting
SASTAV (v2.0.6)

к сведению

Особенности работы с SASTAV

При авторизации в рамках настройки интеграции с SASTAV необходимо использовать сервисную учетную запись SASTAV.
При работе с SASTAV требуются уникальные репозитории в проектах. Поэтому в случае создания проверок безопасности с идентичным источником сканирования в разных проектах в SASTAV будет создан только один репозиторий, при этом в ASOC все результаты сканирований будут формироваться в рамках установленных проектов/проверок безопасности.

Подключение инструментов безопасности

к сведению

Набор минимальных прав доступа для настройки инструментов безопасности:

Просмотр инструментов
Управление инструментами

Подробнее о настройке прав доступа см. Настройка ролей.

Чтобы добавить новый инструмент безопасности, необходимо выполнить следующие шаги:

В разделе Интеграции → Инструменты безопасности нажать на кнопку Добавить инструмент безопасности
Далее выбрать из предложенного списка интеграций необходимый инструмент безопасности.
Заполнить поля:
- Название
- Описание
В зависимости от инструмента заполнить дополнительные поля:
- Описание инструмента
- URL
- Язык результатов сканирования
- Метод аутентификации (необязательно на этом этапе)
  к сведению
  Выбор метода аутентификации на этом шаге не является обязательным, но без заполнения метода аутентификации нельзя проверить соединение с инструментом. Поля для заполнения далее могут отличаться в зависимости от выбора метода аутентификации.
Для аутентификации:
- API-токен: заполните поле "API Токен"
- Логин/пароль: заполните поля "Логин" и "Пароль"
- Нет. Если выбран метод аутентификации None(Нет), то сканирования будут недоступны, но будет доступна возможность импортировать результаты вручную.
  примечание
  Также для некоторых инструментов предусмотрены дополнительные настройки, которые основываются на полученных данных из интеграции с инструментом. Например, данные для проверки лицензии, наличии ограничений инструмента, доступности/недоступности тех или иных возможностей. Для инструмента CodeScoring могут использоваться уже существующие данные аутентификации, а также предусмотрены дополнительные параметры в настройке интеграции.
  
  предупреждение
  При обновлении TRON.ASOC до версии 1.3 и выше необходимо заново настроить интеграцию с CodeScoring, т.к. была произведена адаптация под новую версию CodeScoring 2025.29.3 (не обратносовместимую).
У некоторых интеграций доступна проверка соединения. Чтобы сделать проверку соединения, необходимо нажать на кнопку Проверить соединение (доступно только при указанном методе аутентификации). Система отправит запрос на соединение с инструментом и в верхнем правом углу пользовательского интерфейса отобразится соответствующее уведомление.
Нажать на кнопку Создать

Редактирование инструмента

Для редактирования необходимо выполнить следующие шаги:

Нажать на кнопку редактирования в строке инструмента
В открывшейся форме изменить необходимые параметры
Нажать на кнопку Сохранить

Удаление инструмента

Для удаления инструмента необходимо выполнить следующие шаги:

Нажать на кнопку удаления в строке инструмента
В открывшемся окне подтвердить удаление

Примеры интеграций с инструментами

Добавление инструмента PT Application Inspector

Для добавления инструмента на платформу, необходимо выполнить следующие шаги:

Перейти в раздел Интеграции → Инструменты безопасности
Нажать на кнопку Добавить инструмент безопасности и из предложенного списка инструментов выбрать PT Application Inspector.
В появившейся форме заполнить поля:
- Название интеграции - например, Inspector (имя должно быть уникальным)
- Описание - для удобства идентификации, например, Positive Inspector
Настроить параметры подключения:
- API URL - например, https://your.company.ptsecurity/api/v1
- Язык результатов сканирования
- Метод аутентификации (Login/Password, API Token или Нет (в этом случае сканирования будут недоступны, но будет возможность импортировать результаты вручную.)
  к сведению
  Метод аутентификации можно указать позже при добавлении проверки безопасности
Нажать на кнопку Проверить соединение. При правильно заполненных полях статус проверки должен быть успешным. Если соединение не установлено, нужно проверить корректность введенных данных и повторить попытку.
Нажать на кнопку Сохранить

Добавление инструмента Kaspersky Container Security (KCS)

Для добавления необходимо выполнить следующие шаги:

Перейти в раздел Интеграции → Инструменты безопасности
Нажать на кнопку Добавить инструмент безопасности и выбрать из выпадающего списка инструмент Kaspersky Container Security.
Заполнить обязательные поля:
- Название
- Описание
Указать дополнительные параметры:
- URL: https://your.company.kcs/api/v1
- Язык результатов сканирования
- Метод аутентификации: API Token
  к сведению
  Метод аутентификации можно указать позже при добавлении проверки безопасности
Добавить токен в поле Токен API
Нажать на кнопку Проверить соединение. При правильно заполненных полях статус проверки должен быть успешным. Если соединение не установлено, нужно проверить корректность введенных данных и повторить попытку.
Нажать на кнопку Сохранить

Поддерживаемые инструменты безопасности​

Подключение инструментов безопасности​

Редактирование инструмента​

Удаление инструмента​

Примеры интеграций с инструментами​

Добавление инструмента PT Application Inspector​

Добавление инструмента Kaspersky Container Security (KCS)​