Загрузка внешнего отчета

Загрузка внешнего отчета может быть произведена вручную. Для загрузки необходимо выполнить следующие шаги:

1. Перейти в раздел Проекты → Название проекта → Слои проекта
2. В дополнительных действиях (кнопка ) напротив ранее созданной проверки безопасности необходимо выбрать Импортировать результаты

tip

Для некоторых инструментов также предусмотрена возможность загружать отчеты в формате SBOM. Подробнее см. Загрузка SBOM-отчета.

3. В открывшейся форме загрузить SARIF файл с результатами

note

Предусмотрена возможность загрузки не более одного файла в формате SARIF. Также доступна возможность частичного импорта (при этом не будут закрыты отсутствующие проблемы безопасности).

4. Нажать на кнопку Сохранить

Пример отчета в формате SARIF

{
  "version": "2.1.0",
  "runs": [
    {
      "tool": {
        "driver": {
          "name": "MySecurityScanner",
          "rules": [
            {
              "id": "SEC001",
              "name": "InsecureLibraryUse",
              "helpUri": "https://example.com/rules/SEC001-CVE-2023-12345",
              "properties": {
                "tags": ["security", "CWE-79", "injection"],
                "references": [
                  "https://cwe.mitre.org/data/definitions/79.html",
                  "https://nvd.nist.gov/vuln/detail/CVE-2023-12345"
                ]
              }
            }
          ]
        }
      },
      "properties": {
        "category": "dependency-analysis"
      },
      "results": [
        {
          "ruleId": "SEC001",
          "level": "error",
          "message": {
            "text": "Vulnerable library detected: lodash@4.17.11"
          },
          "locations": [
            {
              "physicalLocation": {
                "artifactLocation": {
                  "uri": "src/utils/parser.js"
                },
                "region": {
                  "startLine": 42,
                  "snippet": {
                    "text": "const _ = require('lodash');"
                  }
                }
              }
            }
          ],
          "codeFlows": [
            {
              "threadFlows": [
                {
                  "locations": [
                    {
                      "location": {
                        "physicalLocation": {
                          "artifactLocation": {
                            "uri": "src/utils/parser.js"
                          },
                          "region": {
                            "startLine": 42
                          }
                        }
                      }
                    }
                  ]
                }
              ]
            }
          ],
          "properties": {
            "input_issue_id": "ISSUE-00123",
            "security-severity": 8.5,
            "info_links": [
              "https://cwe.mitre.org/data/definitions/79.html",
              "https://nvd.nist.gov/vuln/detail/CVE-2023-12345"
            ],
            "library_name": "lodash",
            "library_version": "4.17.11"
          }
        }
      ]
    }
  ]
}

info

При использовании внешних скриптов и в зависимости от выбранного инструмента сканирования (например, CLI-инструмента), у проверки безопасности может быть доступна опция получения результатов сканирования извне путём http-запроса от внешнего инструмента на эндпоинт TRON.ASOC.