# Технологии и инструменты {% tabs %} {% tab title="По типу сканирования" %} Список поддерживаемых технологии: * SAST - Static Application Secutity Testing * DAST - Dynamic Applicaiton Security Testing * SCA - Software Composition Analysis * SD - Secret Detection * CS - Container Security * IaC - Infrastructure as Code * SBOM - Software Bill of Materials * Discovery and Enrichment Tools * Domain Discovery * Port Discovery * Host & Web Probing {% endtab %} {% tab title="По объектам сканирования" %} Список поддерживаемых объектов: * Репозитории * Docker-образы * Домены * Хосты {% endtab %} {% endtabs %} {% hint style="info" %} **Обозначения статусов поддержки сканеров в TRAIO** * **TRAIO’s Choice 🚀**\ \&#xNAN;*Лучшие сканеры, которые мы рекомендуем запускать в первую очередь. Проверены на практике, максимально стабильны, дают лучший пользовательский опыт и работают “из коробки”.* * **Recommended ✅**\ \&#xNAN;*Надёжные и проверенные сканеры, которые отлично подходят для большинства задач. Рекомендуем к использованию, если нужен стабильный и предсказуемый результат.* * **Stable 🟢**\ \&#xNAN;*Стабильные и поддерживаемые сканеры. Работают корректно, прошли тестирование, но не имеют уникальных преимуществ или “фишек” топовых решений.* * **Beta 🧪**\ \&#xNAN;*Сканеры в стадии тестирования. Могут содержать баги или ограничения. Подходят для энтузиастов, пилотов и раннего внедрения.* * **Experimental ⚡️**\ \&#xNAN;*Экспериментальные сканеры. Используются для исследований и тестов новых подходов. Возможны нестабильная работа и неполная поддержка.* {% endhint %} ### **SAST - Static Application Security Testing**

Тип	Название	Статус	Стек	Комментарии	Версия
SAST	Gitlab Semgrep	TRAIO’s Choice ⭐️	Multilang, 30+ Языков программирования	Semgrep с дополненными правилами от Gitlab	latest (Протестировано на 6.14)
SAST	Banidt	Stable 🟢	Python		latest (Протестировано на 1.9.3)
SAST	Semgrep	Stable 🟢	Multilang, 30+ Языков программирования		latest (Протестировано на 1.151.0)
SAST/Code Quality	ESLint	Beta 🧪
SAST	Opengrep	На рассмотрении	Multilang, 30+ Языков программирования	Fork от Semgrep
SAST	Сканнер для 1с	На рассмотрении

### DAST - Dynamic Applicaiton Security Testing

Тип	Название	Статус	Стек	Комментарии	Версия

### SCA - Software Composition Analysis

Тип	Название	Статус	Стек	Комментарии	Версия
SCA	OWASP Dependency Check	Stable 🟢	Multi-language (зависимости: Maven/Gradle, NuGet, npm/yarn, pip, bundler и др.)	Анализирует зависимости проекта, сверяет их с базами CVE/NVD. Для online‑обновления баз желательно использовать NVD API key. Можно запускать с предзагруженной БД и `--noupdate`.	latest (Протестировано на 12.2.0)
SCA	OWASP Dependency Track	Stable 🟢 Integration (need external Dependency-Track)	Multi-language (SBOM: CycloneDX/SPDX; источники SBOM: Syft, Maven/Gradle, npm/yarn, NuGet, pip, bundler и др.)	Принимает SBOM, сопоставляет компоненты с базами уязвимостей и выдаёт findings по зависимостям. В TRAIO используется ephemeral-режим: на каждый запуск создаётся временный проект, загружается SBOM, ожидается обработка, экспортируется findings в JSON и проект удаляется. Для работы нужен доступ к API и ключ DT_API_KEY; URL инстанса задаётся через DT_URL.	Протестировано на v4.13.6
SCA	Trivy FS	Stable 🟢	Multi-language		latest (Протестировано на 0.69.1)

### SD - Secret Detection

Тип	Название	Статус	Стек	Комментарии	Версия
Secret Detection	Trufflehog	TRAIO’s Choice ⭐️	Multistack		latest (Протестировано на 3.93.3)
Secret Detection	Gitleaks	Stable 🟢	Multistack		latest (Протестировано на 8.30.0)
Secret Detection	Gitlab Gitleaks	Stable 🟢	Multistack	Gitleaks насыщенные правилами от Gitlab	latest (Протестировано на 7.24)

### CS - Container Security

Тип	Название	Статус	Стек	Комментарии	Версия
CS	Trivy Image	Stable 🟢	Docker Image		latest (Протестировано на 0.69.1)

### IaC - Infrastructure as Code

Тип	Название	Статус	Стек	Комментарии	Версия
IaC	Checkov	TRAIO’s Choice ⭐️	Multistack	Поиск небезопасных конфигураций и нарушений best practices в инфраструктурном коде	latest (Протестировано на 3.2.504)
IaC	Trivy IaC	Stable 🟢	Multistack		latest (Протестировано на 0.69.1)

### SBOM - Software Bill of Materials

Тип	Название	Статус	Стек	Комментарии	Версия
SBOM Gen	Syft	Recommended ✅	Multipackage 35+ package managers		v1.41.0-debug

### Discovery and Enrichment Tools Discovery and Enrichment Tools (информационные / подготовительные инструменты) - инструменты разведки для насыщения информации о приложении для определенных сканеров (могут быть использованы отдельно, но рекомендуется к использованию в определенной последовательности) | Тип инструмента | Название | Описание | Поддержка стека | Используется для | | ------------------ | --------- | --------------------------------------------------------------- | --------------- | ---------------------------------------------------------- | | Domain Discovery | Subfinder | Основной инструмент для быстрого пассивного сбора поддоменов | Домены | Может быть использован для насыщения информации для naabu | | Port Discovery | Naabu | Проверка открытых портов и сервисов | Сетевые сервисы | Может быть использован для насыщения информации для httpx | | Host & Web Probing | httpx | Фильтрация только живых веб-серверов + сбор полезной информации | HTTP/HTTPS | Может быть использован для насыщения информации для nuclei | ## Archive variant of table | Тип сканера | Название | Описание | Поддержка стека | Статус | | --------------------------- | -------------------- | ---------------------------------------------------------------- | ---------------------------------------- | --------- | | **SAST** | **Brakeman** | Статический анализ Ruby on Rails на безопасность. | Ruby / Rails | Полная | | **SAST** | **ESLint** | Статический анализ JavaScript/TypeScript (безопасность + стиль). | JS, TS | Полная | | **SAST** | **GitLab Node.js** | Статический анализ JavaScript | JavaScript | Полная | | **SAST** | phpcs-security-audit | Анализ PHP-кода | PHP | Полная | | **SAST** | **Gosec** | Статический анализ Go-кода (Golang) | Go | Полная | | **SAST** | **PHPCodeSniffer** | Анализ PHP-кода на соответствие стандартам (PSR) и безопасность. | PHP | Полная | | **SAST** | **Spotbugs** | Статический анализ Java/Kotlin (FindBugs fork). | Java, Kotlin | Полная | | **SAST, IaC** | **Snyk** | Интеграция с Snyk | Multiple | Частичная | | **SCA** | **Retire.js** | Обнаружение устаревших и уязвимых JS-библиотек. | JavaScript, npm | Полная | | **SCA, Container Security** | **Vulners Trivy** | Trivy + база Vulners (расширенные CVE, эксплойты). | Docker, ОС, зависимости | Полная | | **DAST** | **Arachni** | Веб-сканер уязвимостей (DAST). Поиск XSS, SQLi, RCE и др. | Веб-приложения (HTTP/HTTPS) | Полная | | **DAST** | **Naabu** | Быстрое сканирование портов и хостов. | Сетевые сервисы | Полная | | **DAST** | **Nuclei Scan** | Сканер уязвимостей | Веб-приложения | Полная | | **MAST** | **Mobsfscan** | Анализ мобильных приложений (APK, IPA) | Android, iOS | Полная | | **Cloud, Infrastructure** | **Prowler AWS** | Аудит безопасности | AWS, Azure, Google Cloud, and Kubernetes | Полная | | **IaC** | **Terrascan** | Статический анализ Terraform на безопасность. | Terraform | Полная | {% hint style="success" %} **TRAIO’s Choice ⭐️** {% endhint %} {% hint style="success" %} **Stable 🟢** {% endhint %}