Источники сканирования
В этом разделе описаны действия по добавлению, изменению и удалению источников сканирования, поддерживаемые источники сканирования и сочетания источников сканирования и инструментов безопасности.
Поддерживаемые источники сканирования
Система поддерживает следующие источники сканирования:
- Git Repository;
- Nexus;
- CLI Tool;
- Jfrog;
- Harbor;
- AppUrl.
После обновления TRON.ASOC до новой версии необходима повторная настройка интеграций с источниками Git Repository, у которых не был настроен тип системы контроля версий.
Подключение интеграции с источником сканирования
Для подключения интеграций с источниками сканирования пользователь должен иметь как минимум следующие права доступа:
- Просмотр источников;
- Управление источниками;
Чтобы подключить интеграцию с источником сканирования, выполните следующие шаги:
-
Перейдите в раздел Интеграции → Источники сканирования.
-
Нажмите кнопку Добавить источник сканирования.
-
Выберите тип доступа к источнику сканирования:
- Глобальный — при выборе этого типа доступа источник сканирования будет доступен во всех проектах;
- Проектный — при выборе этого типа доступа источник сканирования будет доступен только в выбранных проектах. После выбора этого типа доступа также выберите один или несколько проектов, в которых будет доступен этот источник сканирования.
tipПри выборе типа доступа Проектный вы можете выбрать проекты, в которых будет доступна интеграция, с помощью чекбоксов.

-
Выберите источник сканирования из выпадающего списка Источник.
-
Заполните следующие поля:
- имя;
- описание;
- URL источника.
-
При необходимости установите переключатель для пропуска проверки соединение перед началом сканирования.
-
Нажмите кнопку Создать.

Редактирование интеграции с источником сканирования
Чтобы отредактировать интеграцию с источником сканирования, выполните следующие шаги:
- Перейдите в раздел Интеграции → Источники сканирования.
- Нажмите кнопку дополнительных действий (
) в строке необходимого источника.
- Нажмите кнопку Редактировать.
- Измените необходимые данные.
- Нажмите кнопку Сохранить.
Удаление интеграции с источником сканирования
Чтобы удалить одну интеграциию с источником сканирования, выполните следующие шаги:
- Перейдите в раздел Интеграции → Источники сканирования.
- Нажмите кнопку дополнительных действий (
) в строке необходимого источника.
- Нажмите кнопку Удалить.
- Подтвердите удаление источника в открывшемся окне.

Чтобы удалить несколько интеграций с источником сканирования, выполните следующие шаги:
- Выберите источники сканирования с помощью чекбоксов (
)
- Нажмите кнопку удаления (
), расположенную над таблицей источников.
- Подтвердите удаление источников в открывшемся окне.

Подключение интеграции с источником сканирования с типом "Git Repository"
В качестве источника сканирования вы можете подключить один или несколько Git-репозиториев, а также все репозитории внутри одного пространства.
Для источника с типом Git Repository доступны следующие типы системы контроля версий:
- GitHub;
- GitLab;
- BitBucket (облачный и серверный);
- Другое (возможно подключение других типов).
При запуске сканирований с использованием источника BitBucket можно скорректировать указанный порт (например: ssh://git@bitbucket.int.tronasoc.ru:0000/test/command.git → https://bitbucket.int.tronasoc.ru:0000/test/command.git).
При подключении репозиториев в качестве источников сканирования учитывайте следующее:
- при подключении пространства все репозитории в нем будут добавлены как группа источников и будут синхронизироваться;
- при подключении нескольких репозиториев выбранные репозитории будут добавлены как отдельные источники и не будут сгруппированы между собой.
Подключение интеграции с одним источником сканирования с типом "Git Repository"
Чтобы подключить интеграцию с одним источником сканирования с типом Git Repository, выполните следующие шаги:
- Перейдите в раздел Интеграции → Источники сканирования.
- Нажмите кнопку Добавить источник сканирования.
- В открывшемся окне добавления источника укажите следующие данные:
- тип доступа (глобальный/проектный);
- источник (Git Repository);
- тип системы контроля версий;
- тип интеграции (один репозиторий);
- URL репозитория;
- метод и данные для аутентификации;
- название и описание источника.
- При необходимости установите переключатель пропуска проверки соединения перед началом сканирования.
- Нажмите кнопку Создать.

Подключение интеграции с несколькими источниками сканирования с типом "Git Repository"
Чтобы подключить интеграцию с несколькими источниками сканирования с типом Git Repository, выполните следующие шаги:
-
Перейдите в раздел Интеграции → Источники сканирования.
-
Нажмите кнопку Добавить источник сканирования.
-
В открывшемся окне добавления источника укажите следующие данные:
- тип доступа (глобальный/проектный);
- источник (Git Repository);
- тип системы контроля версий;
- тип интеграции (несколько репозиториев);
- URL организации;
- метод и данные для аутентификации;
-
Укажите параметры:
- репозитории;
warningВыбор репозиториев возможен только в случае, если данные для аутентификации в источнике были введены корректно.
- название каждого источника;
infoНазвание каждого источника будет состоять из следующих частей:
- Общий префикс (опционально).
- Название репозитория.
- описание каждого источника.
-
При необходимости установите переключатель пропуска проверки соединения перед началом сканирования.
-
Нажмите кнопку Создать.
После выполнения всех шагов будет созданы отдельные независимые интеграции для выбранных репозиториев и названия этих интеграций будут соответствовать названиям репозиториев.

Подключение интеграции с пространством с репозиториями
Чтобы подключить интеграцию с пространством с репозиториями, выполните следующие шаги:
-
Перейдите в раздел Интеграции → Источники сканирования.
-
Нажмите кнопку Добавить источник сканирования.
-
В открывшемся окне добавления источника укажите следующие данные:
- тип доступа (глобальный/проектный);
- источник (Git Repository);
- тип системы контроля версий;
- тип интеграции (полное пространство с автосинхронизацией);
- URL организации;
- метод и данные для аутентификации.
-
Настройте параметры синхронизации и обнаружения репозиториев:
- период синхронизации (каждые N дней в ЧЧ:ММ);
- название и описание группы источников.
infoВы также можете просматривать репозитории, автоматически обнаруженные в пространстве. Для этого нажмите кнопку Посмотреть обнаруженные репозитории.
Автоматическое обнаружение репозиториев возможно только в случае, если данные для аутентификации в источнике были введены корректно.
-
При необходимости установите переключатель пропуска проверки соединения перед началом сканирования.
-
Нажмите кнопку Создать.
После выполнения всех шагов создана основная интеграция, к которой в виде дочерних интеграций будут привязаны все обнаруженные репозитории из пространства.

При необходимости ограниченный доступ к репозиториям должен быть настроен на стороне системы контроля версий, поскольку в TRON.ASOC дочерние интеграции прикреплены к родительской интеграции и не могут быть распределены на разные проекты внутри TRON.ASOC.
Сочетания источников сканирования и инструментов безопасности
В системе существуют следующие сочетания источников сканирования и инструментов безопасности:
- CLI-инструменты (ESLint, Gitlab SAST, Trivy, Grype, KICS, Aqua, OWASP Dependency Track, Gitleaks) + CLI Custom source.
- CLI-инструменты с возможностью запуска в k8s (PVS Studio, Semgrep) + Git Repository.
- KCS/Appscreener Solar DAST + Nexus/Harbor/Jfrog.
- Appscreener Solar SAST/Solar SCA/PTAI + Git Repository.
- SASTAV + Git Repository.
- CodeScoring + Git Repository/Nexus/Harbor/Jfrog.
- Manual tool + CLI Custom source.
CLI-инструменты из сочетания 1 могут образовывать проверки безопасности только с типом источника CLI Custom Source.
При создании проверки с сочетанием 2 инструмент запускается в k8s в виде job, получает данные из источника, выполняет проверку безопасности и возвращает отчет о проблемах безопасности
При создании проверки безопасности с сочетаниями 3, 4 необходимо также указать ветку/тег источника (можно несколько).
При создании проверки безопасности с сочетанием 5 необходимо также указать набор правил сканирования и связь ветки/тега источника с коммитом.
При создании проверки безопасности с сочетанием 6 необходимо также указать тип проверки безопасности (SCA, container SCA, secrets). При выборе типа secrets также необходимо выбрать конфигурацию секретов, либо загрузить новую. Кроме того, необходимо указать ветку/тег источника (можно несколько)
Тип инструмента Manual tool сочетается только с типом источника CLI Custom Source, поскольку инструменты этого типа поддерживаются только для загрузки SARIF-отчетов.