Перейти к основному содержимому
Версия: 1.6

Что нового

Версия продукта

1.6

Дата выпуска

1 июля 2026 г.

Краткое описание

Релиз TRON.ASOC v1.6 сфокусирован на автоматизации AppSec-процессов, расширении сценариев интеграции и повышении гибкости платформы.

В новой версии появились конструкторы политик и интеграций с внешними инструментами, возможность автоматического обнаружения Git-репозиториев, поддержка протокола MCP (Model Context Protocol), интеграция TruffleHog, а также значимые улучшения в отчетности, дашбордах, безопасности хранения данных и управлении проверками.

Сводка

  • Добавлен конструктор политик для автоматизации действий по событиям, условиям и расписанию
  • Добавлен конструктор интеграций с внешними инструментами безопасности
  • Реализовано автоматическое обнаружение и синхронизация репозиториев из GitHub, GitLab, Bitbucket
  • Реализована возможность массового добавления репозиториев из GitHub, GitLab, Bitbucket
  • Добавлена поддержка протокола MCP (Model Context Protocol)
  • Внедрена функция формирования отчетов об инкрементальном сравнении состояния уязвимостей в сканированиях
  • Добавлен новый формат отчетов — HTML
  • Расширение возможностей CLI-инструментов

Что нового

Конструктор политик

В TRON.ASOC реализован конструктор политик для автоматизации действий по событиям. Политики поддерживают триггеры, условия на CEL (Common Expression Language), последовательность действий, приоритизацию, включение и отключение без удаления

Что изменилось для пользователя: теперь можно настраивать автоматические реакции на события в системе, включая изменение статуса и критичности, запуск и остановку проверок безопасности, назначение ответственных, создание задач, уведомления и другие действия. В релизе пользователю доступны проектные политики; глобальные политики временно скрыты из интерфейса из-за ограничений производительности

Конструктор интеграций с внешними инструментами безопасности

Добавлен конструктор для подключения внешних инструментов безопасности через настраиваемый runtime. Пользователь может описывать интеграцию внешнего инструмента, настраивать эндпоинты, параметры и поведение без доработки ядра продукта

Что изменилось для пользователя: появилась возможность создавать собственные инструменты класса Custom (External) Tool, использовать их с разными типами источников и тестировать интеграцию через интерфейс

Автоматическое обнаружение и синхронизация репозиториев

Система умеет обнаруживать репозитории в рамках пространства в GitHub, GitLab и Bitbucket, выполнять повторную синхронизацию и показывать статус найденных репозиториев

Что изменилось для пользователя: при подключении системы управления версиями можно выбрать тип интеграции «Полное пространство с автосинхронизацией», после чего система будет создавать и обновлять актуальный список репозиториев

Массовое добавление репозиториев из GitHub, GitLab, Bitbucket

Реализован сценарий добавления одного или нескольких репозиториев при подключении GitHub, GitLab и Bitbucket в качестве источника сканирования

Что изменилось для пользователя: при подключении системы управления версиями в качестве источника сканирования можно выбрать как один, так и несколько репозиториев, которые будут добавлены как отдельные источники

Поддержка протокола MCP (Model Context Protocol)

TRON.ASOC получил поддержку протокола Model Context Protocol и теперь может выступать в роли MCP-сервера с поддержкой OAuth 2.1, RBAC (Role-Based Access Control) и аудита

Что изменилось для пользователя: MCP-совместимые агенты могут использовать контекст TRON.ASOC для анализа данных, получения информации о проблемах безопасности, проектах, метриках и других сущностях через стандартный интерфейс

Формирование отчетов об инкрементальном сравнении состояния уязвимостей в сканированиях

Добавлена возможность инкрементально сравнивать результаты сканирований в рамках слоев

Что изменилось для пользователя: появилась возможность сравнивать результаты сканирований следующими способами: сравнить каждое с предыдущим, сравнить все с выбранным или сравнить 2 выбранных сканирования

Новый формат отчетов — HTML

Добавлен новый формат отчетов по проектам — HTML

Что изменилось для пользователя: теперь можно выгружать в этом формате как сводные, так и детализированные отчеты

Расширение возможностей CLI-инструментов

CLI-инструменты теперь могут использоваться с любыми типами источников (Custom Source, App URL, Harbor)

Что изменилось для пользователя: появилась возможность запускать сканирование источников любых типов с помощью CLI-инструментов, таких как Trivy, Grype, KICS, Semgrep и т.д.

Улучшения

  • Реализована возможность добавления комментариев в Jira-задачи из карточки проблемы безопасности в TRON.ASOC, упоминания пользователей из Jira в комментариях к проблеме и использования пользовательских меток для сущностей, создаваемых в Jira
  • При просмотре проблем безопасности в слое теперь отображаются уязвимости всех вложенных в него слоев
  • В раздел «Проблемы безопасности» добавлен фильтр по слоям, учитывающий вложенность. Этот фильтр также доступен при формировании отчетов и в правилах реагирования
  • На дашборды добавлен кумулятивный график, отображающий проблемы безопасности в разрезе наименований инструментов с возможностью фильтрации
  • Расширена ролевая модель: появились отдельные права на доступ и редактирование дашбордов (ранее использовалось общее административное право)
  • Добавлена возможность выбора сразу нескольких проектов при создании инструмента или источника с типом доступа «Проектный»
  • Дашборды каждого проекта теперь могут иметь собственные настройки виджетов, независимые от общих настроек
  • Кумулятивные графики и метрики за текущий день теперь обновляются в режиме, близком к реальному времени (пересчет выполняется чаще, чем раз в сутки)
  • Виджет «Инструменты безопасности» в проектах больше не показывает автоматически все активные инструменты. Добавлена возможность выбирать отображаемые инструменты, в том числе и те, которые отсутствуют в проекте
  • В раздел «О программе» добавлена информация о состоянии миграции компонентов TRON.ASOC
  • При добавлении интеграций можно выполнять проверку подключения без права на просмотр учетных данных. Кнопка проверки подключения доступна вне режима редактирования интеграций
  • Переработан блок комментариев в отчетах: учтены упоминания пользователей, удаление комментариев и другие действия

Исправления

  • Исправлено отображение нулевых значений на логарифмических графиках — теперь вместо некорректных 0.1 показывается 0, а дублирующая нулевая точка на оси убрана
  • Устранена ошибка, которая при отсутствии данных принудительно отправляла нули на графики. Поведение приведено к логике кумулятивных графиков: если данных нет, нули не возвращаются
  • Для мониторов с нестандартным соотношением сторон (например, 16:10) на странице слоев добавлена возможность горизонтальной прокрутки, чтобы все элементы управления и колонки были доступны без уменьшения масштаба

Новые интеграции

ИнтеграцияОписание
TruffleHogРеализована интеграция с инструментом TruffleHog, предназначенным для поиска, верификации и анализа утечек секретов (API-токенов, паролей и других учетных данных) в репозиториях кода, истории коммитов и иных источниках (Secrets Scanning)

Изменения в REST API

Новые эндпоинты

  • GET /master-sources/ — получение данных master-источника
  • PUT /master-source/{id} — обновление настроек master-источника
  • DELETE /master-source/{id} — удаление master-источника с поддержкой удаления или разрыва связи с дочерними источниками
  • POST /master-source/{id}/sync — ручной запуск синхронизации Git-репозиториев
  • GET /sources-list-with-masters — общий список обычных и master-источников
  • GET /master-source/{master_id}/children — список дочерних источников master-источника
  • GET /stats/tool-name — получение графика по названию инструмента
  • GET /stats/tool-name-list — получение списка инструментов для графиков по названию инструмента
  • GET /api/v1/trackers/users?tracker_ids=... — получение пользователей трекера задач для назначения ответственных и упоминания
  • GET /trackers/labels?tracker_id={TrackerId} — получение меток трекера задач
  • PUT /tracker/{TrackerId}/task/{TrackerTaskID} — ручной запуск синхронизации задачи из трекера задач

Измененные эндпоинты

Измененный эндпоинтСуть изменений
GET /check/{check_id}Поле GroupedBranches заменено на GroupedChecks
POST /checkПри передаче больше одного тега автоматически создается группа, а параметр check_group_id убран из запроса
PUT /check/{check_id}Эндпоинт поддерживает групповое создание и редактирование через параметр GroupedChecks
GET /issue/{id}Дополнительно возвращает список слоев layers в порядке вложенности
GET /issuesДобавлены поля layer_id и layer_type, реализованы сортировка и фильтрация по ним
GET /issues/fieldsДобавлены поля layer_id и layer_type
DELETE /source и DELETE /toolsДобавлен параметр delete_checks для каскадного удаления связанных проверок безопасности

Удаленные эндпоинты

  • POST /check-group
  • GET /check-group/{group_id}
  • PUT /checks-group/{group_id}
  • POST /check/{check_id}/secure
  • POST /notifier/{id}/secure
  • POST /source/{id}/secure
  • POST /sso/settings/secure
  • POST /tool/{id}/secure
  • POST /tracker/{id}/secure

Инструкции по обновлению

Обратная связь и поддержка

Заключение

В версии 1.6 TRON.ASOC делает заметный шаг в сторону более гибкой автоматизации DevSecOps-процессов.

Релиз TRON.ASOC v1.6 усиливает систему сразу по нескольким направлениям: автоматизация AppSec-процессов, работа с AI-интеграциями, безопасность хранения данных, удобство подключения источников и инструментов, а также аналитика и отчетность. Это обновление закладывает основу для дальнейшего развития сценариев Policy-as-Code, пользовательских интеграций и AI-assisted рабочих процессов.

Нашли ошибку или неточность?