Инструменты безопасности
В этом разделе описаны действия по добавлению, изменению и удалению интеграций с инструментами безопасности, доступные инструменты безопасности и их версии, особенности работы с инструментом SASTAV, а также примеры интеграций с инструментами безопасности.
Доступные инструменты и их версии
В текущей версии системы поддерживаются следующие инструменты безопасности (см. таблицу ниже).
| Инструмент | Версия |
|---|---|
| PT Application Inspector | 5.0 |
| Kaspersky Container Security | 2.3 |
| Solar AppScreener | 3.15.5 |
| Aqua | 2022.4.759 |
| CodeScoring | 2025.29.3 |
| Grype | 0.106.0 |
| KICS | 2.1.19 |
| OWASP Dependency Track | 4.12.1 |
| Trivy | 0.68 |
| Semgrep | 1.146.0 |
| ESLint | 9.39.2 |
| PVS-Studio | 7.38 |
| GitLab Advanced SAST | 3.0.0 |
| AppSec.Sting | 2025.5 |
| AppSec.Track | 3.19 |
| Gitleaks | 8.30.0 |
| SASTAV | 2.4.0 |
| TruffleHog | 3.95.2 |
При создании проверки безопасности с помощью Solar AppScreener вы можете выбрать тип анализа (SAST, DAST или SCA).
Особенности работы с SASTAV
При работе с SASTAV учитывайте следующие моменты:
- При авторизации в рамках настройки интеграции с SASTAV необходимо использовать сервисную учетную запись SASTAV.
- При работе с SASTAV репозитории должны быть уникальными в рамках всех проектов системы. При создании проверок безопасности с идентичными источниками сканирования в разных проектах в SASTAV будет создан только один репозиторий.
- Результаты сканирования из общего репозитория SASTAV формируются в соответствующих проверках безопасности/проектах на этапе парсинга отчетов.
- При редактировании проверки безопасности доступен выбора типа репозитория:
- Базовый — содержит ограничение по количеству строк кода до 15 000;
- Расширенный — содержит ограничение по количеству строк кода до 1 млн. Это значение установлено по умолчанию.

- По причине технических ограничений на количество SASTAV-репозиториев в TRON ASOC предусмотрена возможность указать максимальное число репозиториев. Для этого в настройках интеграции с SASTAV доступен параметр Максимальное количество репозиториев. При указании числового значения система контролирует количество активных репозиториев. Если значение параметра не задано, применяется максимальный лимит, доступный по лицензии SASTAV.

- Также доступна очистка SASTAV-репозиториев, созданных TRON ASOC. Возможна как очистка репозиториев вручную, так и автоматическая очистка (например, при удалении проверки безопасности удаляется связанный SASTAV-репозиторий, если он больше не используется в проверках безопасности в TRON ASOC).

Подключение интеграции с инструментом безопасности
Для настройки интеграций с инструментами безопасности пользователь должен иметь как минимум следующие права доступа:
- Просмотр инструментов;
- Управление инструментами.
Чтобы добавить новую интеграцию с инструментом безопасности, выполните следующие шаги:
- Перейдите в раздел Интеграции → Инструменты безопасности.
- Нажмите кнопку Добавить инструмент безопасности.
- Выберите необходимый инструмент безопасности из списка интеграций.

-
Заполните обязательные поля Название и Описание.
-
Выберите тип доступа к инструменту:
- Глобальный — при выборе этого типа доступа интеграция будет доступна во всех проектах;
- Проектный — при выборе этого типа доступа интеграция будет доступна только в выбранных проектах. После выбора этого типа доступа также выберите один или несколько проектов, в которых будет доступна эта интеграция.
tipПри выборе типа доступа Проектный вы можете выбрать проекты, в которых будет доступна интеграция, с помощью чекбоксов.

-
Заполните дополнительные поля:
- Описание инструмента;
- URL;
- Язык результатов сканирования;
- Метод аутентификации.
infoНабор дополнительных полей зависит от выбранного инструмента безопасности.
Выбор метода аутентификации не является обязательным на этом шаге, однако проверка соединения с инструментом невозможна без указания метода аутентификации.
-
Заполните поля в зависимости от выбранного метода аутентификации:
- API-токен: поле API Токен
- Логин/пароль: поля Логин и Пароль
- Нет. Если выбран метод аутентификации Нет, то сканирование будет недоступно, но пользователь сможет импортировать результаты сканирования вручную.
noteТакже для некоторых инструментов предусмотрены дополнительные настройки, основанные на полученных данных из интеграции с инструментом (данные для проверки лицензии, наличии ограничений инструмента и т.д.). Для инструмента CodeScoring могут использоваться уже существующие данные аутентификации, а также предусмотрены дополнительные параметры в настройке интеграции.

- При необходимости проверьте соединение нажатием кнопки Проверить соединение.
Проверка соединения доступна только для методов аутентификации API-токен и Логин/пароль.
Вы можете проверить соединение только если вы ранее корректно ввели данные для аутентификации в инструменте безопасности. Если данные указаны верно, проверка соединения будет успешной. Если соединение не установлено, проверьте корректность введенных данных и повторите попытку.
- Нажмите кнопку Создать
Подключение интеграции с пользовательским инструментом безопасности (кастомной интеграции)
Вы также можете подключить интеграцию с кастомным инструментом безопасности, с помощью которого вы можете запускать проверки безопасности в TRON.ASOC или в Kubernetes, а также импортировать результаты проверки безопасности, выполненной этим инструментом.
Чтобы подключить кастомнный инструмент безопасности, выполните следующие шаги:
-
Перейдите в раздел Интеграции → Инструменты безопасности.
-
Нажмите кнопку Добавить инструмент безопасности.
-
Выберите вариант Добавить кастомный инструмент.
-
Выберите назначение Запуск сканирований.
-
В открывшемся окне укажите следующие параметры инструмента:
- тип доступа (глобальный или проектный);
- название инструмента;
- версия инструмента;
- описание инструмента;
- URL инструмента;
- таймаут — время, по истечение которого система прекратит попытки соединения с инструментом (например, 10 минут);
- период запроса — время, в течение которого будет отправляться один запрос к инструменту (например, раз в 30 секунд).
warningУстановка большого таймаута (более 10 минут) может стать причиной таймаута при тестового сканирования с помощью созданной интеграции.
-
Введите основную и конфиденциальную настройки конфигурации инструмента.
infoПримеры конфигураций инструмента представлены в разделе ниже.
-
Нажмите кнопку Создать.

Примеры настроек конфигурации кастомной интеграции
При создании кастомной интеграции можно указать два типа настроек:
- основная настройка — содержит параметры конфигурации, необходимые для работы интеграции и доступные для просмотра и редактирования пользователям с соответствующими правами;
- конфиденциальная настройка — содержит чувствительные данные, которые не отображаются пользователям при просмотре и редактировании инструмента.
В качестве основной настройки рекомендуется указывать общие параметры подключения и работы инструмента, например адрес сервиса, формат отчета, язык результатов сканирования, используемый метод аутентификации и другие параметры конфигурации. В качестве конфиденциальной настройки рекомендуется указывать данные, доступ к которым должен быть ограничен, например API-токены, пароли, секретные ключи и другие учетные данные.
Состав и структура параметров в основной и конфиденциальной настройках определяются требованиями конкретного внешнего инструмента. Параметры могут быть представлены в виде строк, чисел, логических значений, массивов и вложенных объектов JSON.
Ниже представлен пример настроек и описание их параметров:
Основная настройка:
{
"url": "https://10.128.0.22",
"scan_result_lang": "EN",
"auth_method": "Api Token",
"report_type": "Sarif",
"is_encrypted": false,
"timeout_minutes": 15,
"poll_interval_seconds": 10
}
Конфиденциальная настройка:
{
"api_token": "xxxxxxxxxxxxxxxxxxxxxxxx",
"client_secret": "xxxxxxxxxxxxxxxxxxxxxxxx",
"password": "xxxxxxxxxxxxxxxxxxxxxxxx"
}
| Параметр | Описание параметра |
|---|---|
url | Адрес инструмента |
scan_result_lang | Язык результатов сканирования |
auth_method | Метод аутентификации |
report_type | Формат отчета, формируемого инструментом |
is_encrypted | Признак использования шифрования |
timeout_minutes | Максимальное время ожидания завершения сканирования |
poll_interval_seconds | Интервал опроса статуса сканирования |
api_token | Токен доступа к инструменту |
client_secret | Секретный ключ клиента |
password | Пароль для доступа к инструменту |
Тестовое сканирование с помощью кастомной интеграции
При создании кастомной интеграции вы также можете выполнить тестовый запуск сканирования. Это действие возможно только в случае, если вы ранее ввели корректные настройки конфигурации.
Чтобы запустить тестовое сканирование, выполните следующие шаги:
-
Нажмите кнопку Открыть в блоке Тестовый запуск сканирования.
-
В открывшемся окне укажите следующие данные:
- источник, на котором будет выполнено тестовое сканирование;
- ветка/тег этого источника;
- дополнительные настройки инструмента.
infoДанные, указываемые в дополнительных настройках, будут применены только для тестового сканирования и не будут сохранены в общей конфигурации инструмента.
-
Нажмите кнопку Выполнить.

Редактирование интеграции с инструментом безопасности
Чтобы отредактируйте интеграцию с инструментом безопасности, выполните следующие шаги:
- Нажмите кнопку редактирования (
) в строке инструмента.
- В открывшейся форме измените необходимые параметры.
- Нажмите кнопку Сохранить
Удаление интеграцим с инструментом безопасности
Чтобы удалить интеграцию с инструментом безопасности, выполните следующие шаги:
- Нажмите кнопку удаления
в строке инструмента
- Подтвердите удаление инструмента в открывшемся модальном окне.

Чтобы удалить несколько интеграций с инструментом безопасности, выполните следующие шаги:
- Выберите инструменты с помощью чекбоксов (
)
- Нажмите кнопку удаления (
), расположенную над таблицей инструментов.
- Подтвердите удаление инструментов в открывшемся модальном окне.

Примеры интеграций с инструментами безопасности
Добавление интеграции с PT Application Inspector
Чтобы добавить интеграцию с инструментом в систему, выполните следующие шаги:
-
Перейдите в раздел Интеграции → Инструменты безопасности.
-
Нажмите кнопку Добавить инструмент безопасности.
-
Выберите PT Application Inspector из списка инструментов.
-
Заполните поля в открывшейся форме:
- Название интеграции — название должно быть уникальным;
- Описание.
-
Настройте параметры подключения:
- API URL (например, https://your.company.ptsecurity/api/v1);
- Язык результатов сканированияж
- Метод аутентификации.
infoВы можете указать метод аутентификации позже при добавлении проверки безопасности.
-
Нажмите кнопку Проверить соединение.
Вы можете проверить соединение только если вы ранее корректно ввели данные для аутентификации в инструменте безопасности. Если данные указаны верно, проверка соединения будет успешной. Если соединение не установлено, проверьте корректность введенных данных и повторите попытку.
- Нажмите кнопку Сохранить.
Добавление интеграции с Kaspersky Container Security (KCS)
Чтобы добавить интеграцию с инструментом в систему, выполните следующие шаги:
-
Перейдите в раздел Интеграции → Инструменты безопасности.
-
Нажмите кнопку Добавить инструмент безопасности.
-
Выберите Kaspersky Container Security из списка инструментов.
-
Заполните обязательные поля:
- Название;
- Описание.
-
Настройте параметры подключения:
- URL;
- Язык результатов сканирования;
- Метод аутентификации (API Token).
infoВы можете указать метод аутентификации позже при добавлении проверки безопасности.
-
Добавьте API-токен в поле Токен API
-
Нажмите кнопку Проверить соединение.
Вы можете проверить соединение только если вы ранее корректно ввели данные для аутентификации в инструменте безопасности. Если данные указаны верно, проверка соединения будет успешной. Если соединение не установлено, проверьте корректность введенных данных и повторите попытку.
- Нажмите кнопку Сохранить.