Scanners¶
BoostSecurity propose une variété de scanners robustes capables de détecter et de résoudre efficacement des risques potentiels en matière de sécurité. Néanmoins, avec de nombreux scanners disponibles, il peut être difficile de choisir ceux qui conviennent le mieux à votre dépôt particulier.
C'est pourquoi BoostSecurity fournit une gamme d'outils adaptés à différents langages de programmation, vous permettant d'identifier facilement les vulnérabilités potentielles dans votre dépôt, qui sont :
| Scanner | Type de couverture | Exécution de scan | Description | Prise en charge | Sur Main | Sur PR |
|---|---|---|---|---|---|---|
| BoostSecurity Scanner | CI/CD, SAST | Dans le pipeline | Un scanner personnalisé qui complète les outils SAST spécialement conçus en détectant des faiblesses spécifiques que d'autres outils manquent. Ce n'est pas censé être votre seule solution SAST. | ✅ | ✅ | |
| CI/CD Scanner for SCM | CI/CD | Serveur | Tirant parti des données de l'API de votre système de gestion de code source, il s'agit d'un ensemble de règles propriétaires de BoostSecurity à la recherche de mauvaises configurations et de risques potentiels dans vos pipelines CI/CD. | GitHub, Gitlab, BitBucket, Azure Dev Ops | ✅ | ❌ |
| Checkmarx | IaC, SAST | Serveur | Un outil commercial de scan SAST et IaC dont Boost prend en charge l'ingestion des données. Nécessite un compte actif avec Checkmarx et une connexion d'intégration configurée pour être activé. | Langages et frameworks pris en charge. | ✅ | ❌ |
| Checkov | IaC | Dans le pipeline | Un outil d'analyse statique pour détecter les vulnérabilités dans vos fichiers d'Infrastructure as Code. | Ansible, CloudFormation, Kubernetes, Serverless, Terraform | ✅ | ✅ |
| BoostSecurity OSS License | Licences | Serveur | Un utilitaire Boost qui enrichit votre SBOM généré avec des informations sur les licences open source que vous pouvez utiliser lors de la création de politiques pour garantir qu'aucune licence inacceptable n'est introduite dans votre code. | Basé sur SBOM | ✅ | ❌ |
| BoostSecurity SCA | Licences, SCA | Dans le pipeline | Un outil de scan tout-en-un de Boost qui génère vos résultats SCA, et enrichit ces résultats avec des scores EPSS, des scores OpenSSF, des informations sur les licences et les malwares détectés. Le seul outil SCA dont vous aurez jamais besoin ! | Ruby, Python, PHP, Node.js, .NET, Java, Go, Rust, C/C++, Elixir, Dart, Swift | ✅ | ✅ |
| Brakeman | SAST | Dans le pipeline | Un scanner de code d'analyse statique spécifique au langage Ruby. | Ruby | ✅ | ✅ |
| CodeQL | SAST | Dans le pipeline | Outil de scan d'analyse statique et de qualité de code. Cet outil est soumis à une licence GitHub, assurez-vous donc d'avoir les droits d'utilisation du logiciel avant de l'utiliser. | Go, Java, JavaScript, Python, Ruby, TypeScript | ✅ | ✅ |
| GoSec | SAST | Dans le pipeline | Un scanner de code d'analyse statique spécifique au langage Go. | Go | ✅ | ✅ |
| Semgrep | SAST | Dans le pipeline | Avec le support de plus de 30 langages et de 2000 règles pilotées par la communauté, Semgrep est un outil de scan de code d'analyse statique extrêmement complet qui peut être configuré selon vos besoins. | Bash, C, C++, C#, Cairo, Clojure, Dart, Dockerfile, Générique, Go, Hack, HTML, Java, JavaScript, JSON, Jsonnet, Julia, Lisp, Lua, Kotlin, Ruby, Rust, JSX, Ocaml, PHP, Python, R, Scala, Scheme, Solidity, Swift, TypeScript, YAML, XML | ✅ | ✅ |
| Semgrep Pro | SAST | Dans le pipeline | Boost prend en charge l'ingestion de données de Semgrep Pro à condition que vous disposiez d'une licence active pour le logiciel. Cet outil peut être provisionné une fois que vous avez configuré Boost avec votre jeton de compte. | Bash, C, C++, C#, Cairo, Clojure, Dart, Dockerfile, Générique, Go, Hack, HTML, Java, JavaScript, JSON, Jsonnet, Julia, Lisp, Lua, Kotlin, Ruby, Rust, JSX, Ocaml, PHP, Python, R, Scala, Scheme, Solidity, Swift, TypeScript, YAML, XML | ✅ | ✅ |
| Snyk Provider | SAST, SCA | Serveur | Boost prend en charge l'ingestion de données de Snyk une fois que vous avez établi une intégration avec votre instance. Activez le fournisseur Snyk dans la page d'intégration de Boost pour ingérer des données de Snyk. | Langages et frameworks pris en charge. | ✅ | ❌ |
| SonarQube | SAST | Serveur | Boost prend en charge l'ingestion de données de SonarQube une fois que vous avez établi une intégration avec votre instance. Activez SonarQube dans la page d'intégration de Boost pour ingérer des données de SonarQube. | Langages et frameworks pris en charge. | ✅ | ❌ |
| Trivy (FS SBOM) | SBOM | Dans le pipeline | Un outil flexible pour générer des SBOM à partir d'une grande variété de fichiers de verrouillage dans plus d'une douzaine de langages. | Ruby, Python, PHP, Node.js, .NET, Java, Go, Rust, C/C++, Elixir, Dart, Swift | ✅ | ❌ |
| Black Duck | SCA | Serveur | Boost prend en charge l'ingestion de données de Black Duck une fois que vous avez établi une intégration avec votre instance. Activez Black Duck dans la page d'intégration de Boost pour ingérer des données de Black Duck. | Java, JavaScript, Python, Ruby, PHP, C, C++, C#, Go, Swift, TypeScript, Objective-C, Kotlin, Scala, Groovy, Perl, Rust, Dart, Elixir, Erlang | ✅ | ❌ |
| Bundler-Audit | SCA | Dans le pipeline | Un scanner SCA spécifique à Ruby qui détectera des vulnérabilités dans vos packages Ruby open source. | Ruby | ✅ | ✅ |
| Nancy | SCA | Dans le pipeline | Un scanner SCA spécifique à Go qui détectera des vulnérabilités dans vos packages Go open source. | Go | ✅ | ✅ |
| Npm-Audit | SCA | Dans le pipeline | Un scanner SCA spécifique à Node.js qui détectera des vulnérabilités dans vos packages Node.js open source. | Node.js | ✅ | ✅ |
| Osv-Scanner | SCA | Dans le pipeline | Un outil de scan SCA flexible avec un support pour une douzaine de langages différents. | C/C++, Dart, Elixir, Go, Java, JavaScript, PHP, Python, R, Ruby, Rust | ✅ | ✅ |
| BoostSecurity SBOM SCA | SCA | Serveur | Un outil de scan SCA intégré par Boost qui génère des résultats SCA à partir de votre SBOM actuel. Cet outil ne fonctionne que si vous avez un outil de génération de SBOM activé, et est inutile si vous avez activé BoostSecurity SCA. | Ruby, Python, PHP, Node.js, .NET, Java, Go, Rust, C/C++, Elixir, Dart, Swift | ✅ | ❌ |
| Snyk SCA | SCA | Dans le pipeline | Une version intégrée de la technologie de scan Snyk. Bien que cela ne nécessite pas de connexion à votre instance Snyk principale, ce scanner exige que vous fournissiez un jeton de compte à Boost avant de pouvoir être activé. Contrairement à l'intégration du fournisseur, cette version du scanner Snyk peut être exécutée sur des Pull Requests. | Langages et frameworks pris en charge. | ✅ | ✅ |
| Trivy (Scanning de système de fichiers) | SCA | Dans le pipeline | Un outil de scan SCA basé sur l'outil de scan open source Trivy. | Ruby, Python, PHP, Node.js, .NET, Java, Go, Rust, C/C++, Elixir, Dart, Swift | ✅ | ✅ |
| Dependabot | SCA | Serveur | Pour les utilisateurs de GitHub, si vous avez activé Dependabot sur votre compte, Boost peut ingérer les données générées par Dependabot en activant ce scanner. Si vous activez ce scanner et n'avez pas accès à Dependabot, le scan échouera. | Langages et frameworks pris en charge. | ✅ | ❌ |
| BoostSecurity Supply Chain Inventory | Inventaire de chaîne d'approvisionnement | Serveur | Un utilitaire Boost qui identifie les composants de l'inventaire de chaîne d'approvisionnement dans vos pipelines SCM et CI/CD (tels que GitHub Actions ou Circle CI Orbs) pour fournir un catalogue de tout ce qui peut toucher votre code. Pensez-y comme un SBOM pour votre chaîne d'approvisionnement. | GitHub, GitHub Actions, CircleCI, BuildKite, Gitlab, Pipelines Gitlab | ✅ | ❌ |
| Gitleaks | Secrets | Dans le pipeline | GitLeaks est un utilitaire open source de confiance pour identifier les secrets stockés dans votre code source. Un ensemble de règles hautement configurable qui identifiera rapidement toute information d'identification laissée par inadvertance lors d'un check-in de code. | Tout | ✅ | ✅ |
| Gitleaks Git Scan | Secrets | Dans le pipeline | Gitleaks Git Scan peut augmenter le scanner Gitleaks standard en détectant des secrets qui peuvent être stockés dans votre historique de contrôle de version. Cet outil ne s'exécute que contre votre branche principale, et ne doit être utilisé que dans le cadre d'une stratégie globale pour traiter toute information d'identification accidentellement validée dans votre historique Git. | Tout | ✅ | ❌ |