Что нового
Версия продукта
1.6
Дата выпуска
1 июля 2026 г.
Краткое описание
Релиз TRON.ASOC v1.6 сфокусирован на автоматизации AppSec-процессов, расширении сценариев интеграции и повышении гибкости платформы.
В новой версии появились конструкторы политик и интеграций с внешними инструментами, возможность автоматического обнаружения Git-репозиториев, поддержка протокола MCP (Model Context Protocol), интеграция TruffleHog, а также значимые улучшения в отчетности, дашбордах, безопасности хранения данных и управлении проверками.
Сводка
- Добавлен конструктор политик для автоматизации действий по событиям, условиям и расписанию
- Добавлен конструктор интеграций с внешними инструментами безопасности
- Реализовано автоматическое обнаружение и синхронизация репозиториев из GitHub, GitLab, Bitbucket
- Реализована возможность массового добавления репозиториев из GitHub, GitLab, Bitbucket
- Добавлена поддержка протокола MCP (Model Context Protocol)
- Внедрена функция формирования отчетов об инкрементальном сравнении состояния уязвимостей в сканированиях
- Добавлен новый формат отчетов — HTML
- Расширение возможностей CLI-инструментов
Что нового
Конструктор политик
В TRON.ASOC реализован конструктор политик для автоматизации действий по событиям. Политики поддерживают триггеры, условия на CEL (Common Expression Language), последовательность действий, приоритизацию, включение и отключение без удаления
Что изменилось для пользователя: теперь можно настраивать автоматические реакции на события в системе, включая изменение статуса и критичности, запуск и остановку проверок безопасности, назначение ответственных, создание задач, уведомления и другие действия. В релизе пользователю доступны проектные политики; глобальные политики временно скрыты из интерфейса из-за ограничений производительности
Конструктор интеграций с внешними инструментами безопасности
Добавлен конструктор для подключения внешних инструментов безопасности через настраиваемый runtime. Пользователь может описывать интеграцию внешнего инструмента, настраивать эндпоинты, параметры и поведение без доработки ядра продукта
Что изменилось для пользователя: появилась возможность создавать собственные инструменты класса Custom (External) Tool, использовать их с разными типами источников и тестировать интеграцию через интерфейс
Автоматическое обнаружение и синхронизация репозиториев
Система умеет обнаруживать репозитории в рамках пространства в GitHub, GitLab и Bitbucket, выполнять повторную синхронизацию и показывать статус найденных репозиториев
Что изменилось для пользователя: при подключении системы управления версиями можно выбрать тип интеграции «Полное пространство с автосинхронизацией», после чего система будет создавать и обновлять актуальный список репозиториев
Массовое добавление репозиториев из GitHub, GitLab, Bitbucket
Реализован сценарий добавления одного или нескольких репозиториев при подключении GitHub, GitLab и Bitbucket в качестве источника сканирования
Что изменилось для пользователя: при подключении системы управления версиями в качестве источника сканирования можно выбрать как один, так и несколько репозиториев, которые будут добавлены как отдельные источники
Поддержка протокола MCP (Model Context Protocol)
TRON.ASOC получил поддержку протокола Model Context Protocol и теперь может выступать в роли MCP-сервера с поддержкой OAuth 2.1, RBAC (Role-Based Access Control) и аудита
Что изменилось для пользователя: MCP-совместимые агенты могут использовать контекст TRON.ASOC для анализа данных, получения информации о проблемах безопасности, проектах, метриках и других сущностях через стандартный интерфейс
Формирование отчетов об инкрементальном сравнении состояния уязвимостей в сканированиях
Добавлена возможность инкрементально сравнивать результаты сканирований в рамках слоев
Что изменилось для пользователя: появилась возможность сравнивать результаты сканирований следующими способами: сравнить каждое с предыдущим, сравнить все с выбранным или сравнить 2 выбранных сканирования
Новый формат отчетов — HTML
Добавлен новый формат отчетов по проектам — HTML
Что изменилось для пользователя: теперь можно выгружать в этом формате как сводные, так и детализированные отчеты
Расширение возможностей CLI-инструментов
CLI-инструменты теперь могут использоваться с любыми типами источников (Custom Source, App URL, Harbor)
Что изменилось для пользователя: появилась возможность запускать сканирование источников любых типов с помощью CLI-инструментов, таких как Trivy, Grype, KICS, Semgrep и т.д.
Улучшения
- Реализована возможность добавления комментариев в Jira-задачи из карточки проблемы безопасности в TRON.ASOC, упоминания пользователей из Jira в комментариях к проблеме и использования пользовательских меток для сущностей, создаваемых в Jira
- При просмотре проблем безопасности в слое теперь отображаются уязвимости всех вложенных в него слоев
- В раздел «Проблемы безопасности» добавлен фильтр по слоям, учитывающий вложенность. Этот фильтр также доступен при формировании отчетов и в правилах реагирования
- На дашборды добавлен кумулятивный график, отображающий проблемы безопасности в разрезе наименований инструментов с возможностью фильтрации
- Расширена ролевая модель: появились отдельные права на доступ и редактирование дашбордов (ранее использовалось общее административное право)
- Добавлена возможность выбора сразу нескольких проектов при создании инструмента или источника с типом доступа «Проектный»
- Дашборды каждого проекта теперь могут иметь собственные настройки виджетов, независимые от общих настроек
- Кумулятивные графики и метрики за текущий день теперь обновляются в режиме, близком к реальному времени (пересчет выполняется чаще, чем раз в сутки)
- Виджет «Инструменты безопасности» в проектах больше не показывает автоматически все активные инструменты. Добавлена возможность выбирать отображаемые инструменты, в том числе и те, которые отсутствуют в проекте
- В раздел «О программе» добавлена информация о состоянии миграции компонентов TRON.ASOC
- При добавлении интеграций можно выполнять проверку подключения без права на просмотр учетных данных. Кнопка проверки подключения доступна вне режима редактирования интеграций
- Переработан блок комментариев в отчетах: учтены упоминания пользователей, удаление комментариев и другие действия
Исправления
- Исправлено отображение нулевых значений на логарифмических графиках — теперь вместо некорректных 0.1 показывается 0, а дублирующая нулевая точка на оси убрана
- Устранена ошибка, которая при отсутствии данных принудительно отправляла нули на графики. Поведение приведено к логике кумулятивных графиков: если данных нет, нули не возвращаются
- Для мониторов с нестандартным соотношением сторон (например, 16:10) на странице слоев добавлена возможность горизонтальной прокрутки, чтобы все элементы управления и колонки были доступны без уменьшения масштаба
Новые интеграции
| Интеграция | Описание |
|---|---|
| TruffleHog | Реализована интеграция с инструментом TruffleHog, предназначенным для поиска, верификации и анализа утечек секретов (API-токенов, паролей и других учетных данных) в репозиториях кода, истории коммитов и иных источниках (Secrets Scanning) |
Изменения в REST API
Новые эндпоинты
GET /master-sources/— получение данных master-источникаPUT /master-source/{id}— обновление настроек master-источникаDELETE /master-source/{id}— удаление master-источника с поддержкой удаления или разрыва связи с дочерними источникамиPOST /master-source/{id}/sync— ручной запуск синхронизации Git-репозиториевGET /sources-list-with-masters— общий список обычных и master-источниковGET /master-source/{master_id}/children— список дочерних источников master-источникаGET /stats/tool-name— получение графика по названию инструментаGET /stats/tool-name-list— получение списка инструментов для графиков по названию инструментаGET /api/v1/trackers/users?tracker_ids=...— получение пользователей трекера задач для назначения ответственных и упоминанияGET /trackers/labels?tracker_id={TrackerId}— получение меток трекера задачPUT /tracker/{TrackerId}/task/{TrackerTaskID}— ручной запуск синхронизации задачи из трекера задач
Измененные эндпоинты
| Измененный эндпоинт | Суть изменений |
|---|---|
GET /check/{check_id} | Поле GroupedBranches заменено на GroupedChecks |
POST /check | При передаче больше одного тега автоматически создается группа, а параметр check_group_id убран из запроса |
PUT /check/{check_id} | Эндпоинт поддерживает групповое создание и редактирование через параметр GroupedChecks |
GET /issue/{id} | Дополнительно возвращает список слоев layers в порядке вложенности |
GET /issues | Добавлены поля layer_id и layer_type, реализованы сортировка и фильтрация по ним |
GET /issues/fields | Добавлены поля layer_id и layer_type |
DELETE /source и DELETE /tools | Добавлен параметр delete_checks для каскадного удаления связанных проверок безопасности |
Удаленные эндпоинты
POST /check-groupGET /check-group/{group_id}PUT /checks-group/{group_id}POST /check/{check_id}/securePOST /notifier/{id}/securePOST /source/{id}/securePOST /sso/settings/securePOST /tool/{id}/securePOST /tracker/{id}/secure
Инструкции по обновлению
Обратная связь и поддержка
- Электронная почта техподдержки — support@tronasoc.ru
- Политика партнерской технической поддержки для пользователей ПО «TRON.ASOC»
Заключение
В версии 1.6 TRON.ASOC делает заметный шаг в сторону более гибкой автоматизации DevSecOps-процессов.
Релиз TRON.ASOC v1.6 усиливает систему сразу по нескольким направлениям: автоматизация AppSec-процессов, работа с AI-интеграциями, безопасность хранения данных, удобство подключения источников и инструментов, а также аналитика и отчетность. Это обновление закладывает основу для дальнейшего развития сценариев Policy-as-Code, пользовательских интеграций и AI-assisted рабочих процессов.