Skip to content

Интеграция с SASTAV

Интеграция со сканером SASTAV позволяет подключить сервер SASTAV к Vampy и запускать SAST-сканирования репозиториев и продуктов через оркестрацию.

Возможности интеграции:

  • подключение к SASTAV по логину и паролю (API v2);
  • запуск сканирований из профиля оркестрации для репозиториев и продуктов;
  • загрузка результатов в формате SARIF и отображение их в Vampy как инструмент SASTAV.

Настройка интеграции

Для настройки перейдите в раздел Администратор → Интеграция → SASTAV и нажмите + Интеграции SASTAV.

В окне Настройка интеграции SASTAV укажите:

  • Имя интеграции — произвольное имя для идентификации;
  • URL — адрес сервера SASTAV, например https://mysastav.example;
  • Имя пользователя — учётная запись SASTAV;
  • Пароль — пароль учётной записи SASTAV.

В блоке Дополнительные опции при необходимости можно указать:

  • Сертификаты CA — для настройки SSL-соединения;
  • Игнорировать проверку SSL-сертификата — для самоподписанных сертификатов.

Версия API

Для интеграции требуется SASTAV API версии 2. При сохранении Vampy проверяет версию API сервера; если v2 недоступна, интеграция не будет авторизована.

Нажмите Сохранить. Интеграция появится в списке интеграций SASTAV.

Запуск сканирования

После настройки интеграции SASTAV становится доступен как SAST-сканер в профиле сканирования.

Перейдите в раздел Оркестрация → Профили сканирования, создайте или откройте профиль и добавьте сканер SASTAV. В настройках сканера укажите:

  • СканерSASTAV;
  • Интеграция — ранее созданная интеграция SASTAV;
  • Docker образ и Команда запуска — заполнены значениями по умолчанию, менять их не нужно;
  • Переменные окружения — обязательные параметры сканирования (см. ниже).

Обязательные переменные окружения

Все три переменные обязательны, их значения берутся из вашего инстанса SASTAV:

Ключ Значение
SASTAV_PROJECT_ID Идентификатор (UUID) проекта в SASTAV, в который запускается сканирование
SASTAV_PRESET_ID Идентификатор (UUID) пресета (набора правил анализа) в SASTAV
SASTAV_TEAM_NAME Имя команды в SASTAV, которой принадлежит проект

Сохраните профиль. Дальнейший запуск сканирований описан в разделе про запуск сканирований. Результаты SASTAV загружаются в формате SARIF и отображаются в Vampy как отдельный инструмент SASTAV.