Подготовка к использованию CLI-инструментов
Для того, чтобы получить возможность отправки результатов от CLI-инструмента (Command Line Interface), предварительно необходимо:
- Добавить инструмент в список доступных инструментов безопасности в разделе Интеграции → Источники безопасности
- Заполнить обязательные поля:
- Название
- Описание
- Выбрать один из доступных инструментов:
- Trivy
- Crype
- OWASP Dependency Track
- Semgrep
- Aqua
- CodeScoring
- Kaspersky Container Security
- KICS
- PT Application Inspector
- Solar Appscreener
- ESLint
- PVS-Studio
- GitLab Advanced SAST
- AppSec.Sting
- Gitleaks
- SASTAV
- Manual - сторонний инструмент, из которого можно загрузить результаты сканирований в систему, которые будут учитываться при дальнейшей обработке данных. Результаты загружаются в формате JSON с теми же требованиями, что представлены в разделе Загрузка внешнего отчета.
Добавление источника сканирования
После добавления инструмента необходимо:
-
Перейти в Интеграции → Источники сканирования
-
Нажать Добавить источник сканирования
-
Заполнить форму:
- Имя
- Описание
- Указать Источник = CLI Tool Custom Source
к сведениюДля CLI-инструментов источником может быть любая ссылка (репозиторий, база знаний и т.д.)
-
Нажать на кнопку Создать
Далее требуется создать слои проекта, проверки безопасности для соответствующего проекта и загрузить результаты сканирований в формате SARIF или JSON.
Для CLI-инструментов в интерфейсе доступно только импортирование отчетов о сканированиях в формате SARIF/JSON, а кнопка запуска сканирований проверок безопасности недоступна, сканирования выполняются с помощью CLI. Подробнее см. примеры ниже.