Список поддерживаемых сканеров

Инструкция по загрузке результатов сканирования.

Secret Scan

Название сканера	VV_SCAN_TYPE	Поддерживаемые языки	Ссылка
Trufflehog3	TRUFFLEHOG3	All	Github
Gitlab Secret detection	GITLAB_SECRET_DETECT	All	Gitlab
Trufflehog	TRUFFLEHOG	All	Github
GitLeaks	GITLEAKS	All	Github

SAST

Название сканера	VV_SCAN_TYPE	Поддерживаемые языки	Ссылка
Semgrep	SEMGREP	C#, Go, Java, JavaScript, JSX, JSON, PHP, Python, Ruby, Scala, Terraform, TypeScript, TSX	Github
ESLint	ESLINT	ECMAScript, JavaScript	Github
Checkmarx	CHECKMARX	C#, Go, Java, JavaScript, JSX, JSON, PHP, Python, Ruby, Scala, Terraform, TypeScript, TSX	Checkmarx
GitLab SAST	GITLAB_SAST	.NET Core, .NET Framework, Go, Java, Python, React, JavaScript, TypeScript	Gitlab
Snyk Code	SNYK_CODE	.NET, Apex, Bazel, C/C++, Elixir, Go, Java, Kotlin, JavaScript, PHP, Python, Ruby, Scala, Swift, TypeScript, VB.NET	Snyk.io
SARIF	SARIF	все	SarifWeb
SonarQube	SONAR_QUBE	все	SonarSource
PT AI	PT_AI	все	PT AI
Solar AppScreener	APP_SCREENER_SAST	все	RT Solar
Svace	SARIF	все	Svace
PVS-Studio	PVS_STUDIO	C, C++, C#, Java	PVS-Studio
SpotBugs	SPOTBUGS	Java	Github

Software Composition Analysis (SCA)

Название сканера	VV_SCAN_TYPE	Тип сканируемых объектов	Ссылка
Trivy Image	TRIVY_IMAGE	OS packages, software dependencies	Github
Trivy File system	TRIVY_FS	OS packages, software dependencies	Github
Dependency Check	DEPENDENCY_CHECK	software dependencies	Github
Grype	GRYPE	OS packages, software dependencies	Github
Snyk SCA	SNYK_SCA	OS packages, software dependencies	Snyk.io
GitLab Container Security	GITLAB_CONTAINER_SECURITY	OS packages, software dependencies	GitLab
GitLab Dependency	GITLAB_DEPENDENCY	OS packages, software dependencies	GitLab
SBOM	SBOM	OS packages, software dependencies	CycloneDX
CodeScoring	SBOM	OS packages, software dependencies	CodeScoring
PT AI	PT_AI	software dependencies	PT AI
Solar AppScreener	APP_SCREENER_SCA	software dependencies	RT Solar

DAST

Название сканера	VV_SCAN_TYPE	Тип сканируемых объектов	Ссылка
Nuclei	NUCLEI	Network, Web	Github
ZAP	ZAP	Network, Web	ZAP
GitLab DAST	GITLAB_DAST	Network, Web	GitLab
Acunetix	ACUNETIX	Network, Web	Acunetix
Burp Suite	BURP_SUITE	Web	Burp Suite
PT AI	PT_AI	Web	PT AI
Solar AppScreener	APP_SCREENER_DAST	Web	RT Solar

IaC

Название сканера	VV_SCAN_TYPE	Тип сканируемых объектов	Ссылка
KICS	SARIF	IaC	Github
Checkov	SARIF	IaC	Github

Сканеры для оркестрации

Название сканера	SLUG	Тип	Поддерживаемые цели
Semgrep	SEMGREP	SAST	Продукт, Репозиторий
Trivy: FileSystem	TRIVY_FS	SCA	Продукт, Репозиторий
Trivy: Image	TRIVY_IMAGE	SCA	Продукт, Версия артефакта
Trufflehog	TRUFFLEHOG	SAST	Продукт, Репозиторий
Gitleaks	GITLEAKS	SAST	Продукт, Репозиторий
PT AI	PT_AI	SAST	Продукт, Репозиторий
CodeScoring: Repository	CODE_SCORING_REPOSITORY	SCA	Продукт, Репозиторий
CodeScoring: Artifact	CODE_SCORING_ARTIFACT	SCA	Продукт, Версия артефакта
AppScreener: SAST	APP_SCREENER_SAST	SAST	Продукт, Репозиторий
AppScreener: SCA Repository	APP_SCREENER_SCA_REPOSITORY	SCA	Продукт, Репозиторий
ZAP	ZAP	DAST	Актив, Продукт

Особенности обработки SARIF

Определение серьёзности

При загрузке результатов в формате SARIF (включая SARIF-based сканеры: Svace, KICS, Checkov) платформа определяет серьёзность (severity) дефекта по следующему приоритету:

result.level — уровень, указанный непосредственно в результате
rule.properties.security-severity — числовой CVSS-подобный скоринг
rule.properties["problem.severity"] или rule.properties.severity
rule.defaultConfiguration.level — уровень по умолчанию из определения правила
Если ни одно из полей не найдено — присваивается None

Маппинг SARIF level → Vampy severity:

SARIF level	Vampy severity
critical	Critical
error	High
warning	Medium
recommendation	Low
note	Low
none	None