Источники сканирования

В этом разделе описаны действия по добавлению, изменению и удалению источников сканирования, поддерживаемые источники сканирования и сочетания источников сканирования и инструментов безопасности.

Поддерживаемые источники сканирования

Система поддерживает следующие источники сканирования:

• Git Repository;
• Nexus;
• CLI Tool;
• Jfrog;
• Harbor;
• AppUrl.

info

Для источника в формате Git-репозитория доступны следующие типы системы контроля версий:

• GitHub;
• GitLab;
• BitBucket (облачный и серверный);
• Другое (возможно подключение других типов).

При запуске сканирований с использованием источника BitBucket можно скорректировать указанный порт (например: ssh://git@bitbucket.int.tronasoc.ru:0000/test/command.git → https://bitbucket.int.tronasoc.ru:0000/test/command.git).

caution

После обновления TRON.ASOC до новой версии необходима повторная настройка интеграций с источниками Git Repository, у которых не был настроен тип системы контроля версий.

Подключение источника сканирования

info

Для подключения источников сканирования пользователь должен иметь как минимум следующие права доступа:

• Просмотр источников;
• Управление источниками;

Чтобы подключить источник сканирования, выполните следующие шаги:

1. Перейдите в раздел Интеграции → Источники сканирования.
2. Нажмите кнопку Добавить источник сканирования.
3. Заполните поля Имя, Описание.
4. Выберите тип доступа к источнику сканирования:
   • Глобальный — при выборе этого типа доступа источник сканирования будет доступен во всех проектах;
   • Проектный — при выборе этого типа доступа источник сканирования будет доступен только в выбранных проектах. После выбора этого типа доступа также выберите один или несколько проектов, в которых будет доступен этот источник сканирования.
5. Выберите источник сканирования из выпадающего списка Источник.

6. Заполните дополнительные поля:

   • URL источника;
   • Метод аутентификации;
   • Пропустить проверку соединения — при выборе этого параметра соединение с источником не будет проверяться перед запуском сканирования.

7. Заполните поля в зависимости от выбранного метода аутентификации:

   • API-токен: поле API Токен
   • Логин/пароль: поля Логин и Пароль
   • Анонимный;
   • SSH (безопасный метод авторизации по SSH-ключу; доступны все SSH, кроме passphrase).
   info

   Выбор метода аутентификации не является обязательным на этом шаге, однако проверка соединения с источником невозможна без указания метода аутентификации.

   

8. При необходимости проверьте соединение нажатием кнопки Проверить соединение.

caution

Вы можете проверить соединение только если вы ранее корректно ввели данные для аутентификации в источнике сканирования. Если данные указаны верно, проверка соединения будет успешной. Если соединение не установлено, проверьте корректность введенных данных и повторите попытку.

9. Нажмите кнопку Создать.

Редактирование источника сканирования

Чтобы отредактировать источник сканирования, выполните следующие шаги:

1. Перейдите в раздел Интеграции → Источники сканирования.
2. Нажмите кнопку дополнительных действий () в строке необходимого источника.
3. Нажмите кнопку Редактировать.
4. Измените необходимые данные.
5. Нажмите кнопку Сохранить.

Удаление источника сканирования

Чтобы удалить один источник сканирования, выполните следующие шаги:

1. Перейдите в раздел Интеграции → Источники сканирования.
2. Нажмите кнопку дополнительных действий () в строке необходимого источника.
3. Нажмите кнопку Удалить.
4. Подтвердите удаление источника в открывшемся окне.

Чтобы удалить несколько источников сканирования, выполните следующие шаги:

1. Выберите источники сканирования с помощью чекбоксов ()
2. Нажмите кнопку удаления (), расположенную над таблицей источников.
3. Подтвердите удаление источников в открывшемся окне.

Сочетания источников сканирования и инструментов безопасности

В системе существуют следующие сочетания источников сканирования и инструментов безопасности:

1. CLI-инструменты (ESLint, Gitlab SAST, Trivy, Grype, KICS, Aqua, OWASP Dependency Track, Gitleaks) + CLI Custom source.
2. CLI-инструменты с возможностью запуска в k8s (PVS Studio, Semgrep) + Git Repository.
3. KCS/Appscreener Solar DAST + Nexus/Harbor/Jfrog.
4. Appscreener Solar SAST/Solar SCA/PTAI + Git Repository.
5. SASTAV + Git Repository.
6. CodeScoring + Git Repository/Nexus/Harbor/Jfrog.
7. Manual tool + CLI Custom source.

caution

CLI-инструменты из сочетания 1 могут образовывать проверки безопасности только с типом источника CLI Custom Source.

При создании проверки с сочетанием 2 инструмент запускается в k8s в виде job, получает данные из источника, выполняет проверку безопасности и возвращает отчет о проблемах безопасности

При создании проверки безопасности с сочетаниями 3, 4 необходимо также указать ветку/тег источника (можно несколько).

При создании проверки безопасности с сочетанием 5 необходимо также указать набор правил сканирования и связь ветки/тега источника с коммитом.

При создании проверки безопасности с сочетанием 6 необходимо также указать тип проверки безопасности (SCA, container SCA, secrets). При выборе типа secrets также необходимо выбрать конфигурацию секретов, либо загрузить новую. Кроме того, необходимо указать ветку/тег источника (можно несколько)

Тип инструмента Manual tool сочетается только с типом источника CLI Custom Source, поскольку инструменты этого типа поддерживаются только для загрузки SARIF-отчетов.