Перейти к основному содержимому
Версия: 1.6

Источники сканирования

В этом разделе описаны действия по добавлению, изменению и удалению источников сканирования, поддерживаемые источники сканирования и сочетания источников сканирования и инструментов безопасности.

Поддерживаемые источники сканирования

Система поддерживает следующие источники сканирования:

  • Git Repository;
  • Nexus;
  • CLI Tool;
  • Jfrog;
  • Harbor;
  • AppUrl.
предупреждение

После обновления TRON.ASOC до новой версии необходима повторная настройка интеграций с источниками Git Repository, у которых не был настроен тип системы контроля версий.

Подключение интеграции с источником сканирования

к сведению

Для подключения интеграций с источниками сканирования пользователь должен иметь как минимум следующие права доступа:

  • Просмотр источников;
  • Управление источниками;

Чтобы подключить интеграцию с источником сканирования, выполните следующие шаги:

  1. Перейдите в раздел Интеграции → Источники сканирования.

  2. Нажмите кнопку Добавить источник сканирования.

  3. Выберите тип доступа к источнику сканирования:

    • Глобальный — при выборе этого типа доступа источник сканирования будет доступен во всех проектах;
    • Проектный — при выборе этого типа доступа источник сканирования будет доступен только в выбранных проектах. После выбора этого типа доступа также выберите один или несколько проектов, в которых будет доступен этот источник сканирования.
    подсказка

    При выборе типа доступа Проектный вы можете выбрать проекты, в которых будет доступна интеграция, с помощью чекбоксов.

    Выбор нескольких проектов для интеграции

  4. Выберите источник сканирования из выпадающего списка Источник.

  5. Заполните следующие поля:

    • имя;
    • описание;
    • URL источника.
  6. При необходимости установите переключатель для пропуска проверки соединение перед началом сканирования.

  7. Нажмите кнопку Создать.

Источники сканирования

Редактирование интеграции с источником сканирования

Чтобы отредактировать интеграцию с источником сканирования, выполните следующие шаги:

  1. Перейдите в раздел Интеграции → Источники сканирования.
  2. Нажмите кнопку дополнительных действий (Дополнительные действия) в строке необходимого источника.
  3. Нажмите кнопку Редактировать.
  4. Измените необходимые данные.
  5. Нажмите кнопку Сохранить.

Удаление интеграции с источником сканирования

Чтобы удалить одну интеграциию с источником сканирования, выполните следующие шаги:

  1. Перейдите в раздел Интеграции → Источники сканирования.
  2. Нажмите кнопку дополнительных действий (Дополнительные действия) в строке необходимого источника.
  3. Нажмите кнопку Удалить.
  4. Подтвердите удаление источника в открывшемся окне.

Подтверждение удаления одного источника сканирования

Чтобы удалить несколько интеграций с источником сканирования, выполните следующие шаги:

  1. Выберите источники сканирования с помощью чекбоксов (Чекбокс)
  2. Нажмите кнопку удаления (Удалить), расположенную над таблицей источников.
  3. Подтвердите удаление источников в открывшемся окне.

Подтверждение удаления нескольких источников сканирования

Подключение интеграции с источником сканирования с типом "Git Repository"

В качестве источника сканирования вы можете подключить один или несколько Git-репозиториев, а также все репозитории внутри одного пространства.

к сведению

Для источника с типом Git Repository доступны следующие типы системы контроля версий:

  • GitHub;
  • GitLab;
  • BitBucket (облачный и серверный);
  • Другое (возможно подключение других типов).

При запуске сканирований с использованием источника BitBucket можно скорректировать указанный порт (например: ssh://git@bitbucket.int.tronasoc.ru:0000/test/command.githttps://bitbucket.int.tronasoc.ru:0000/test/command.git).

При подключении репозиториев в качестве источников сканирования учитывайте следующее:

  • при подключении пространства все репозитории в нем будут добавлены как группа источников и будут синхронизироваться;
  • при подключении нескольких репозиториев выбранные репозитории будут добавлены как отдельные источники и не будут сгруппированы между собой.

Подключение интеграции с одним источником сканирования с типом "Git Repository"

Чтобы подключить интеграцию с одним источником сканирования с типом Git Repository, выполните следующие шаги:

  1. Перейдите в раздел Интеграции → Источники сканирования.
  2. Нажмите кнопку Добавить источник сканирования.
  3. В открывшемся окне добавления источника укажите следующие данные:
    • тип доступа (глобальный/проектный);
    • источник (Git Repository);
    • тип системы контроля версий;
    • тип интеграции (один репозиторий);
    • URL репозитория;
    • метод и данные для аутентификации;
    • название и описание источника.
  4. При необходимости установите переключатель пропуска проверки соединения перед началом сканирования.
  5. Нажмите кнопку Создать.

Добавление одного репозитория в качестве источника

Подключение интеграции с несколькими источниками сканирования с типом "Git Repository"

Чтобы подключить интеграцию с несколькими источниками сканирования с типом Git Repository, выполните следующие шаги:

  1. Перейдите в раздел Интеграции → Источники сканирования.

  2. Нажмите кнопку Добавить источник сканирования.

  3. В открывшемся окне добавления источника укажите следующие данные:

    • тип доступа (глобальный/проектный);
    • источник (Git Repository);
    • тип системы контроля версий;
    • тип интеграции (несколько репозиториев);
    • URL организации;
    • метод и данные для аутентификации;
  4. Укажите параметры:

    • репозитории;
    warning

    Выбор репозиториев возможен только в случае, если данные для аутентификации в источнике были введены корректно.

    • название каждого источника;
    к сведению

    Название каждого источника будет состоять из следующих частей:

    1. Общий префикс (опционально).
    2. Название репозитория.
    • описание каждого источника.
  5. При необходимости установите переключатель пропуска проверки соединения перед началом сканирования.

  6. Нажмите кнопку Создать.

После выполнения всех шагов будет созданы отдельные независимые интеграции для выбранных репозиториев и названия этих интеграций будут соответствовать названиям репозиториев.

Добавление нескольких репозиториев в качестве источника

Подключение интеграции с пространством с репозиториями

Чтобы подключить интеграцию с пространством с репозиториями, выполните следующие шаги:

  1. Перейдите в раздел Интеграции → Источники сканирования.

  2. Нажмите кнопку Добавить источник сканирования.

  3. В открывшемся окне добавления источника укажите следующие данные:

    • тип доступа (глобальный/проектный);
    • источник (Git Repository);
    • тип системы контроля версий;
    • тип интеграции (полное пространство с автосинхронизацией);
    • URL организации;
    • метод и данные для аутентификации.
  4. Настройте параметры синхронизации и обнаружения репозиториев:

    • период синхронизации (каждые N дней в ЧЧ:ММ);
    • название и описание группы источников.
    к сведению

    Вы также можете просматривать репозитории, автоматически обнаруженные в пространстве. Для этого нажмите кнопку Посмотреть обнаруженные репозитории.

    Автоматическое обнаружение репозиториев возможно только в случае, если данные для аутентификации в источнике были введены корректно.

  5. При необходимости установите переключатель пропуска проверки соединения перед началом сканирования.

  6. Нажмите кнопку Создать.

После выполнения всех шагов создана основная интеграция, к которой в виде дочерних интеграций будут привязаны все обнаруженные репозитории из пространства.

Добавление пространства с репозиториями в качестве источника

warning

При необходимости ограниченный доступ к репозиториям должен быть настроен на стороне системы контроля версий, поскольку в TRON.ASOC дочерние интеграции прикреплены к родительской интеграции и не могут быть распределены на разные проекты внутри TRON.ASOC.

Сочетания источников сканирования и инструментов безопасности

В системе существуют следующие сочетания источников сканирования и инструментов безопасности:

  1. CLI-инструменты (ESLint, Gitlab SAST, Trivy, Grype, KICS, Aqua, OWASP Dependency Track, Gitleaks) + CLI Custom source.
  2. CLI-инструменты с возможностью запуска в k8s (PVS Studio, Semgrep) + Git Repository.
  3. KCS/Appscreener Solar DAST + Nexus/Harbor/Jfrog.
  4. Appscreener Solar SAST/Solar SCA/PTAI + Git Repository.
  5. SASTAV + Git Repository.
  6. CodeScoring + Git Repository/Nexus/Harbor/Jfrog.
  7. Manual tool + CLI Custom source.
предупреждение

CLI-инструменты из сочетания 1 могут образовывать проверки безопасности только с типом источника CLI Custom Source.

При создании проверки с сочетанием 2 инструмент запускается в k8s в виде job, получает данные из источника, выполняет проверку безопасности и возвращает отчет о проблемах безопасности

При создании проверки безопасности с сочетаниями 3, 4 необходимо также указать ветку/тег источника (можно несколько).

При создании проверки безопасности с сочетанием 5 необходимо также указать набор правил сканирования и связь ветки/тега источника с коммитом.

При создании проверки безопасности с сочетанием 6 необходимо также указать тип проверки безопасности (SCA, container SCA, secrets). При выборе типа secrets также необходимо выбрать конфигурацию секретов, либо загрузить новую. Кроме того, необходимо указать ветку/тег источника (можно несколько)

Тип инструмента Manual tool сочетается только с типом источника CLI Custom Source, поскольку инструменты этого типа поддерживаются только для загрузки SARIF-отчетов.

Нашли ошибку или неточность?