Skip to main content
Version: 1.5

Инструменты безопасности

В этом разделе описаны действия по добавлению, изменению и удалению интеграций с инструментами безопасности, доступные инструменты безопасности и их версии, особенности работы с инструментом SASTAV, а также примеры интеграций с инструментами безопасности.

Доступные инструменты и их версии

В текущей версии системы поддерживаются следующие инструменты безопасности (см. таблицу ниже).

ИнструментВерсия
PT Application Inspector5.0
Kaspersky Container Security2.3
Solar AppScreener3.15.5
Aqua2022.4.759
CodeScoring2025.29.3
Grype0.106.0
KICS2.1.19
OWASP Dependency Track4.12.1
Trivy0.68
Semgrep1.146.0
ESLint9.39.2
PVS-Studio7.38
GitLab Advanced SAST3.0.0
AppSec.Sting2025.5
AppSec.Track3.19
Gitleaks8.30.0
SASTAV2.4.0
note

При создании проверки безопасности с помощью Solar AppScreener вы можете выбрать тип анализа (SAST, DAST или SCA).

Особенности работы с SASTAV

При работе с SASTAV учитывайте следующие моменты:

  1. При авторизации в рамках настройки интеграции с SASTAV необходимо использовать сервисную учетную запись SASTAV.
  2. При работе с SASTAV репозитории должны быть уникальными в рамках всех проектов системы. При создании проверок безопасности с идентичными источниками сканирования в разных проектах в SASTAV будет создан только один репозиторий.
  3. Результаты сканирования из общего репозитория SASTAV формируются в соответствующих проверках безопасности/проектах на этапе парсинга отчетов.
  4. При редактировании проверки безопасности доступен выбора типа репозитория:
    • Базовый — содержит ограничение по количеству строк кода до 15 000;
    • Расширенный — содержит ограничение по количеству строк кода до 1 млн. Это значение установлено по умолчанию.

Выбор типа репозитория

  1. По причине технических ограничений на количество SASTAV-репозиториев в TRON ASOC предусмотрена возможность указать максимальное число репозиториев. Для этого в настройках интеграции с SASTAV доступен параметр Максимальное количество репозиториев. При указании числового значения система контролирует количество активных репозиториев. Если значение параметра не задано, применяется максимальный лимит, доступный по лицензии SASTAV.

Выбор максимального количества репозиториев

  1. Также доступна очистка SASTAV-репозиториев, созданных TRON ASOC. Возможна как очистка репозиториев вручную, так и автоматическая очистка (например, при удалении проверки безопасности удаляется связанный SASTAV-репозиторий, если он больше не используется в проверках безопасности в TRON ASOC).

Очистка репозиториев

Подключение интеграции с инструментом безопасности

info

Для настройки интеграций с инструментами безопасности пользователь должен иметь как минимум следующие права доступа:

  • Просмотр инструментов;
  • Управление инструментами.

Чтобы добавить новую интеграцию с инструментом безопасности, выполните следующие шаги:

  1. Перейдите в раздел Интеграции → Инструменты безопасности.
  2. Нажмите кнопку Добавить инструмент безопасности.
  3. Выберите необходимый инструмент безопасности из списка интеграций.

Выбор инструмента безопасности

  1. Заполните обязательные поля Название и Описание.

  2. Выберите тип доступа к инструменту:

    • Глобальный — при выборе этого типа доступа интеграция будет доступна во всех проектах;
    • Проектный — при выборе этого типа доступа интеграция будет доступна только в выбранных проектах. После выбора этого типа доступа также выберите один или несколько проектов, в которых будет доступна эта интеграция.

  3. Заполните дополнительные поля:

    • Описание инструмента;
    • URL;
    • Язык результатов сканирования;
    • Метод аутентификации.
    info

    Набор дополнительных полей зависит от выбранного инструмента безопасности.

    Выбор метода аутентификации не является обязательным на этом шаге, однако проверка соединения с инструментом невозможна без указания метода аутентификации.

  4. Заполните поля в зависимости от выбранного метода аутентификации:

    • API-токен: поле API Токен
    • Логин/пароль: поля Логин и Пароль
    • Нет. Если выбран метод аутентификации Нет, то сканирование будет недоступно, но пользователь сможет импортировать результаты сканирования вручную.
    note

    Также для некоторых инструментов предусмотрены дополнительные настройки, основанные на полученных данных из интеграции с инструментом (данные для проверки лицензии, наличии ограничений инструмента и т.д.). Для инструмента CodeScoring могут использоваться уже существующие данные аутентификации, а также предусмотрены дополнительные параметры в настройке интеграции.

Выбор инструмента безопасности

  1. При необходимости проверьте соединение нажатием кнопки Проверить соединение.
caution

Проверка соединения доступна только для методов аутентификации API-токен и Логин/пароль.

Вы можете проверить соединение только если вы ранее корректно ввели данные для аутентификации в инструменте безопасности. Если данные указаны верно, проверка соединения будет успешной. Если соединение не установлено, проверьте корректность введенных данных и повторите попытку.

  1. Нажмите кнопку Создать

Редактирование интеграции с инструментом безопасности

Чтобы отредактировать интеграцию с инструментом безопасности, выполните следующие шаги:

  1. Нажать на кнопку редактирования (Редактирование) в строке инструмента.
  2. В открывшейся форме измените необходимые параметры.
  3. Нажмите кнопку Сохранить

Удаление интеграцим с инструментом безопасности

Чтобы удалить интеграцию с инструментом безопасности, выполните следующие шаги:

  1. Нажмите кнопку удаления Удаление в строке инструмента
  2. Подтвердите удаление инструмента в открывшемся модальном окне.

Подтверждение удаления одного инструмента безопасности

Чтобы удалить несколько интеграций с инструментом безопасности, выполните следующие шаги:

  1. Выберите инструменты с помощью чекбоксов (Чекбокс)
  2. Нажмите кнопку удаления (Удалить), расположенную над таблицей инструментов.
  3. Подтвердите удаление инструментов в открывшемся модальном окне.

Подтверждение удаления нескольких инструментов безопасности

Примеры интеграций с инструментами безопасности

Добавление интеграции с PT Application Inspector

Чтобы добавить интеграцию с инструментом в систему, выполните следующие шаги:

  1. Перейдите в раздел Интеграции → Инструменты безопасности.

  2. Нажмите кнопку Добавить инструмент безопасности.

  3. Выберите PT Application Inspector из списка инструментов.

  4. Заполните поля в открывшейся форме:

    • Название интеграции — название должно быть уникальным;
    • Описание.

  5. Настройте параметры подключения:

    info

    Вы можете указать метод аутентификации позже при добавлении проверки безопасности.

  6. Нажмите кнопку Проверить соединение.

caution

Вы можете проверить соединение только если вы ранее корректно ввели данные для аутентификации в инструменте безопасности. Если данные указаны верно, проверка соединения будет успешной. Если соединение не установлено, проверьте корректность введенных данных и повторите попытку.

  1. Нажмите кнопку Сохранить.

Добавление интеграции с Kaspersky Container Security (KCS)

Чтобы добавить интеграцию с инструментом в систему, выполните следующие шаги:

  1. Перейдите в раздел Интеграции → Инструменты безопасности.

  2. Нажмите кнопку Добавить инструмент безопасности.

  3. Выберите Kaspersky Container Security из списка инструментов.

  4. Заполните обязательные поля:

    • Название;
    • Описание.

  5. Настройте параметры подключения:

    • URL;
    • Язык результатов сканирования;
    • Метод аутентификации (API Token).
    info

    Вы можете указать метод аутентификации позже при добавлении проверки безопасности.

  6. Добавьте API-токен в поле Токен API

  7. Нажмите кнопку Проверить соединение.

caution

Вы можете проверить соединение только если вы ранее корректно ввели данные для аутентификации в инструменте безопасности. Если данные указаны верно, проверка соединения будет успешной. Если соединение не установлено, проверьте корректность введенных данных и повторите попытку.

  1. Нажмите кнопку Сохранить.