# Сканеры

* [**Импорт отчетов от сканеров в Security Center**](https://docs.cybercodereview.ru/security-center/scanners/importing-reports-from-scanners-to-security-center)
* [**Загрузка кастомных импортеров**](https://docs.cybercodereview.ru/security-center/scanners/custom-importers)

Чтобы настроить сканер, обратитесь к разделу [**Настройки сканера**](https://docs.cybercodereview.ru/security-center/general-portal-settings/scanner-settings).

Информация о каждом **импортере**, поддерживаемом Security Center

#### **Сканеры кода:**

* **`Bandit`**: импортирует результаты сканирования от [**сканеров Bandit и GitLab Bandit**](https://docs.cybercodereview.ru/security-center/scanners/scanner-description/code-scanners/bandit), которые являются инструментами для поиска проблем безопасности в коде Python. Они проверяют Python-код на наличие распространенных проблем безопасности, таких как жестко закодированные пароли, SQL-инъекции и других.
* **`Checkov`**: импортирует результаты сканирования [**сканера Checkov**](https://docs.cybercodereview.ru/security-center/scanners/scanner-description/code-scanners/checkov), который представляет собой инструмент для поиска проблем безопасности в Infrastructure as Code. Он обеспечивает статический анализ кода Terraform, CloudFormation и Kubernetes для выявления неправильных конфигураций и потенциальных проблем безопасности.
* **`CodeQL`**: импортирует результаты сканирования [**сканера CodeQL**](https://docs.cybercodereview.ru/security-center/scanners/scanner-description/code-scanners/codeql), который представляет собой инструмент для анализа исходного кода с целью поиска уязвимостей безопасности, таких как SQL-инъекции, межсайтовый скриптинг (XSS), переполнение буфера и других.
* **`ESLint`**: импортирует результаты сканирования от [**сканеров ESLint и GitLab ESLint**](https://docs.cybercodereview.ru/security-center/scanners/scanner-description/code-scanners/eslint), которые являются инструментами для поиска проблем безопасности в коде JavaScript. Они проверяют код JavaScript на наличие таких распространенных проблем безопасности, как межсайтовый скриптинг (XSS), SQL-инъекции и других.
* **`Gemnasium` :** импортирует результаты сканирования от [**сканера GitLab Gemnasium**](https://docs.cybercodereview.ru/security-center/scanners/scanner-description/code-scanners/gemnasium) - инструмента, который выявляет уязвимости и проблемы безопасности в зависимостях проекта.
* **`Gosec`**: импортирует результаты сканирования от [**сканера Gosec**](https://docs.cybercodereview.ru/security-center/scanners/scanner-description/code-scanners/gosec), который является инструментом для поиска проблем безопасности в коде Go. Он помогает выявить потенциальные уязвимости в коде Go.
* **`Hadolint`**: импортирует результаты сканирования от [**сканера Hadolint Dockerfile Check**](https://docs.cybercodereview.ru/security-center/scanners/scanner-description/code-scanners/hadolint) - сканера Dockerfile, который помогает убедиться в правильности синтаксиса Dockerfile, соблюдении лучших практик и выявлении потенциальных проблем, связанных с созданием Docker-образов. Он фокусируется на качестве кода и соответствии стандартам Dockerfile, помогая в создании безопасных и хорошо структурированных образов Docker.
* **`KICS`**: импортирует результаты сканирования от [**сканера GitLab KICS**](https://docs.cybercodereview.ru/security-center/scanners/scanner-description/code-scanners/kics) (Keeping Infrastructure as Code Secure), который предназначен для обнаружения уязвимостей и нарушений политик безопасности в файлах Infrastructure as Code (IaC).
* **`PHPCodeSniffer`**: импортирует результаты сканирования от [**сканера PHP\_CodeSniffer**](https://docs.cybercodereview.ru/security-center/scanners/scanner-description/code-scanners/php_codesniffer), который занимается токенизацией PHP-файлов и выявляет нарушения определенного набора стандартов написания кода.
* **`Retire.js`**: импортирует результаты сканирования от [**сканера Retire.js**](https://docs.cybercodereview.ru/security-center/scanners/scanner-description/code-scanners/retire.js) - инструмента, предназначенного для анализа JavaScript-кода на предмет устаревших и уязвимых библиотек и зависимостей. Он нацелен на выявление устаревших или известных уязвимых компонентов в коде JavaScript, способствуя повышению уровня безопасности веб-приложений.
* **`Semgrep`**: импортирует результаты сканирования от [**сканеров Semgrep** и **GitLab Semgrep**](https://docs.cybercodereview.ru/security-center/scanners/scanner-description/code-scanners/semgrep), которые являются инструментом для поиска проблем безопасности в коде. Они обеспечивают статический анализ кода на различных языках и помогает выявить потенциальные уязвимости в системе безопасности.
* **`SpotBugs`**: импортирует результаты сканирования от [**сканера SpotBugs**](https://docs.cybercodereview.ru/security-center/scanners/scanner-description/code-scanners/spotbugs), который анализирует исходный код Java на предмет потенциальных проблем с безопасностью, эффективностью и стилем программирования.
* **`Terrascan`**: импортирует результаты сканирования от [**сканера Terrascan**](https://docs.cybercodereview.ru/security-center/scanners/scanner-description/code-scanners/terrascan), который является инструментом для поиска проблем безопасности в коде Terraform. Он помогает выявить потенциальные уязвимости в Infrastructure as Code.

#### **Сканеры секретов:**

* **`Gitleaks`**: импортирует результаты сканирования от [**сканеров Gitleaks и GitLab Gitleaks**](https://docs.cybercodereview.ru/security-center/scanners/scanner-description/secret-scanners/gitleaks), которые являются инструментами для поиска секретов и конфиденциальной информации в *Git-репозиториях*. Они помогают выявить жестко закодированные секреты в Git-репозиториях, которые случайно записываются разработчиками.
* **`Trufflehog3`**: импортирует результаты сканирования от [**сканера Trufflehog3**](https://docs.cybercodereview.ru/security-center/scanners/scanner-description/secret-scanners/trufflehog3) - инструмента для поиска секретов и конфиденциальной информации в *репозиториях кода*. Trufflehog3Importer преобразует результаты сканирования в формат, который легко воспринимается Security Center.

#### **Сканеры зависимости образов и кода:**

* **`Trivy`**: импортирует результаты сканирования от [**сканера Trivy**](https://docs.cybercodereview.ru/security-center/scanners/scanner-description/image-and-code-dependency-scanners/trivy), который является инструментом для поиска проблем безопасности в образах Docker и репозиториях кода.
* **`Vulners Trivy`**: импортирует результаты сканирования от [**сканера Trivy с плагином vulners.com**](https://docs.cybercodereview.ru/security-center/scanners/scanner-description/image-and-code-dependency-scanners/trivy-vulners.com-plugin).

#### **Веб-сканеры:**

* **`Arachni`**: импортирует результаты сканирования от [**сканера Arachni**](https://docs.cybercodereview.ru/security-center/scanners/scanner-description/web-scanners/arachni-scan), который представляет собой инструмент для проверки современных веб-приложений на наличие различных уязвимостей, включая SQL-инъекции, межсайтовый скриптинг, включение файлов и других.
* **`Burpsuit`**: импортирует результаты сканирования от [**сканера BurpSuit Enterprise**](https://docs.cybercodereview.ru/security-center/scanners/scanner-description/web-scanners/burpsuit-enterprise), который представляет собой инструмент для автоматизированного тестирования безопасности веб-приложений и сканирования уязвимостей.
* **`OWASP Zap`**: отвечает за импорт результатов сканирования от [**сканера GitLab OWASP Zap**](https://docs.cybercodereview.ru/security-center/scanners/scanner-description/web-scanners/owasp-zap), который представляет собой инструмент тестирования безопасности, ориентированный на уязвимости веб-приложений, включая SQL-инъекции, межсайтовый скриптинг (XSS) и другие.

#### **Мобильные сканеры:**

* **`Mobsfscan`**: это инструмент тестирования безопасности, ориентированный на поиск уязвимостей в мобильных приложениях. [**Этот сканер**](https://docs.cybercodereview.ru/security-center/scanners/scanner-description/mobile-security-scanners/mobsfscan) основан на **`Semgrep`** с пользовательскими правилами от группы MobSF.

#### **Сканеры инфраструктуры:**

* **`AWSSecurity`:** импортирует результаты сканирования от [**сканера AWS Security Hub**](https://docs.cybercodereview.ru/security-center/scanners/scanner-description/infrastructure-scanners/aws-security-hub-scan), который является мощным инструментом, предназначенным для анализа и выявления потенциальных уязвимостей безопасности в средах AWS. С помощью этого импортера вы можете легко интегрировать результаты сканирования AWS Security Hub в Security Center, обеспечивая централизованное управление и всестороннюю видимость состояния безопасности в экосистеме AWS.
* **`Naabu` :** это простой инструмент, который выполняет быстрое сканирование SYN/CONNECT/UDP на хосте/списке хостов и перечисляет все порты, которые возвращают ответ.
* **`Nessus`**: это ведущий инструмент для сканирования уязвимостей, разработанный компанией Tenable. Он используется для выявления и оценки потенциальных уязвимостей в системах и сетях, помогая организациям укреплять свою кибербезопасность.
* **`Nuclei`**: импортирует результаты сканирования от [**сканера Nuclei**](https://docs.cybercodereview.ru/security-center/scanners/scanner-description/infrastructure-scanners/nuclei), который является инструментом для поиска проблем безопасности в веб-приложениях.
* **`Prowler`**: отвечает за импорт результатов сканирования от [**сканера Prowler**](https://docs.cybercodereview.ru/security-center/scanners/scanner-description/infrastructure-scanners/prowler). Prowler - это инструмент сканирования безопасности, специально разработанный для оценки безопасности сред Amazon Web Services (AWS).
* **`Subfinder`**: импортирует результаты сканирования от [**сканера Subfinder**](https://docs.cybercodereview.ru/security-center/scanners/scanner-description/infrastructure-scanners/subfinder). Subfinder - это инструмент обнаружения поддоменов, используемый для идентификации поддоменов, связанных с целевым доменом или веб-приложением. Он помогает собирать важную информацию на этапах перечисления при оценке безопасности и тестировании на проникновение.

#### **Прочие сканеры:**

* **`Dependency-Track`**: импортирует результат с платформы [**Dependency-track**](https://docs.cybercodereview.ru/security-center/scanners/scanner-description/other-scanners/dependency-track). Поддерживает следующие компоненты: приложения, библиотеки, фреймворки, операционные системы, контейнеры, микропрограммы, файлы, оборудование, сервисы.
* **`Snyk`**: импортирует результат от инструмента [**Snyk**](https://docs.cybercodereview.ru/security-center/scanners/scanner-description/other-scanners/snyk). Snyk - это платформа, позволяющая сканировать, определять приоритеты и устранять уязвимости безопасности в коде, зависимостях с открытым исходным кодом, образах контейнеров и конфигурациях Infrastructure as Code.