Skip to main content
Version: 1.5.2

Импорт отчетов из инструментов безопасности

Система поддерживает импорт результатов сканирования из внешних инструментов безопасности. Результаты сканирования обрабатываются следующими способами:

  • парсинг на основе универсальных форматов вывода (SARIF);
  • парсинг на основе форматов отчетов, поддерживаемых инструментами безопасности.

Ниже представлен список форматов, поддерживаемых инструментами безопасности.

Инструмент безопасностиФормат файлаНазвание формата
AquaHTML внутри JSONCustom HTML Report
CodeScoringJSONCustom CodeScoring JSON
ESLintJSONESLint Report JSON
ExternalJSONSARIF 2.1.0
GitLab Advanced SASTJSONGitLab SAST Report JSON
GitleaksJSONGitleaks JSON Report
GrypeJSONGrype Vulnerability Report JSON
KCSJSONKCS (Kubescape) JSON
KICSJSONKICS Scan Results JSON
ManualJSONASOC Manual Issue Format JSON
OWASP Dependency TrackJSONCycloneDX-based JSON
PT AIJSONPT Application Inspector JSON
PVSJSONSARIF 2.1.0
SASTAVJSONSASTAV Security Scan Report JSON
SemgrepJSONSemgrep Results JSON
Solar AppscreenerJSONCustom JSON (SCA/DAST/SAST)
StingrayJSONStingray Defect Report JSON
TrivyJSONTrivy Vulnerability Report JSON

Технических ограничений на размер импортируемого отчета или количество найденных уязвимостей не предусмотрено, однако при импорте очень большого объема данных возможно замедление процесса импорта. Если содержимое файла не соответствует формату, импорт завершается с ошибкой парсинга и отчет в систему не загружается.

При повторной загрузке отчета о сканировании тем же инструментом происходит следующее:

  • проблемы, отсутствовавшие в ранее загруженных отчетах, не создаются — учитываются проблемы, присутствующие в загруженном отчете;
  • у проблем, повторно встретившихся в новом отчете, обновляется время последнего обнаружения.

При включении параметра Частичный импорт проблемы, которые были импортированы из ранних отчетов, не перезаписываются при импорте следующих отчетов. Например, если первый отчет содержит 5 проблем, а второй — 2 новых проблемы, то при включенном параметре Частичный импорт итоговое количество найденных проблем составит 7 (а не 2, которые остались бы при отключенном параметре).

Загрузка отчета в систему

Чтобы загрузить в систему отчет о сканировании, выполненном вне системы, выполните следующие шаги:

  1. Перейдите в раздел Проекты → Название проекта → Слои проекта.
  2. Нажмите кнопку дополнительных действий (Дополнительные действия) возле необходимой проверки.

Импорт внешнего отчета

tip

Вы можете загружать отчеты в формате SBOM для некоторых инструментов. Подробнее о загрузке SBOM-отчетов см. в разделе SBOM-отчеты.

  1. Выберите вариант Импортировать результаты.
  2. В открывшейся форме загрузите SARIF-файл с результатами.
  3. Установите параметр Частичный импорт, если не требуется закрывать отсутствующие проблемы.
  4. Нажмите кнопку Сохранить.

Загрузка отчета в систему

Ниже представлен пример отчета в формате SARIF.

{
"version": "2.1.0",
"runs": [
{
"tool": {
"driver": {
"name": "MySecurityScanner",
"rules": [
{
"id": "SEC001",
"name": "InsecureLibraryUse",
"helpUri": "https://example.com/rules/SEC001-CVE-2023-12345",
"properties": {
"tags": ["security", "CWE-79", "injection"],
"references": [
"https://cwe.mitre.org/data/definitions/79.html",
"https://nvd.nist.gov/vuln/detail/CVE-2023-12345"
]
}
}
]
}
},
"properties": {
"category": "dependency-analysis"
},
"results": [
{
"ruleId": "SEC001",
"level": "error",
"message": {
"text": "Vulnerable library detected: lodash@4.17.11"
},
"locations": [
{
"physicalLocation": {
"artifactLocation": {
"uri": "src/utils/parser.js"
},
"region": {
"startLine": 42,
"snippet": {
"text": "const _ = require('lodash');"
}
}
}
}
],
"codeFlows": [
{
"threadFlows": [
{
"locations": [
{
"location": {
"physicalLocation": {
"artifactLocation": {
"uri": "src/utils/parser.js"
},
"region": {
"startLine": 42
}
}
}
}
]
}
]
}
],
"properties": {
"input_issue_id": "ISSUE-00123",
"security-severity": 8.5,
"info_links": [
"https://cwe.mitre.org/data/definitions/79.html",
"https://nvd.nist.gov/vuln/detail/CVE-2023-12345"
],
"library_name": "lodash",
"library_version": "4.17.11"
}
}
]
}
]
}

Нашли ошибку или неточность?