Сервис анализа уязвимостей ПО в процессе разработки
— аутсорсинговый AppSec-as-a-Service для регулярного анализа безопасности разрабатываемого программного обеспечения.
Сервис объединяет автоматизированное сканирование, экспертную верификацию результатов и собственные технологии корреляции, чтобы команды разработки получали не поток отчетов, а подтвержденные и приоритизированные уязвимости.
Варианты работы
Мы находим по-настоящему опасные уязвимости в исходном коде, зависимостях, контейнерах и API. Все это без внедрения сложных процессов и расширения внутренней AppSec-команды
[01]
Подтвержденные уязвимости,
а не шумный поток сработок сканеров
а не шумный поток сработок сканеров
[02]
Стартуем сразу, без перестройки ваших процессов разработки ПО
[03]
Регулярно анализируем безопасность кода
и зависимостей
и зависимостей
[04]
Экспертно поддерживаем
ваши команды разработки
ваши команды разработки
Развертывание on-premise
в вашей инфраструктуре
в вашей инфраструктуре
Облачный сервис
Jet SCALE
— аутсорсинговый AppSec-as-a-Service для регулярного анализа безопасности разрабатываемого программного обеспечения.
Сервис объединяет автоматизированное сканирование, экспертную верификацию результатов и собственные технологии корреляции, чтобы команды разработки получали не поток отчетов, а подтвержденные и приоритизированные уязвимости.
Варианты работы
Мы находим по-настоящему опасные уязвимости в исходном коде, зависимостях, контейнерах и API. Все это без внедрения сложных процессов и расширения внутренней AppSec-команды
[01]
Подтвержденные уязвимости,
а не шумный поток сработок сканеров
а не шумный поток сработок сканеров
[02]
Стартуем сразу, без перестройки ваших процессов разработки ПО
[03]
Регулярно анализируем безопасность кода
и зависимостей
и зависимостей
[04]
Экспертно поддерживаем
ваши команды разработки
ваши команды разработки
Развертывание on-premise
в вашей инфраструктуре
в вашей инфраструктуре
Облачный сервис
[Jet SCALE]
Кому полезен Jet SCALE
- Быстрый запуск регулярного анализа безопасности ПО без долгого внедрения
- Возможность усилить AppSec-направление без расширения штата специалистов
- OPEX-модель вместо капитальных затрат на закупку, внедрение и поддержку внутренних решений
- Выполнение требований внутренних стандартов, заказчиков или регуляторов
- Понятный сервисный формат с предсказуемым результатом, ценой и SLA
- Масштабирование анализа безопасности под объемы разработки и задачи компании
- Проверенные уязвимости вместо сырого потока отчетов сканеров
- Понятные рекомендации, пригодные для постановки задач на исправление
- Приоритизация находок с учетом реального риска для приложения
- Поддержка AppSec-экспертов сервиса при разборе сложных и спорных уязвимостей
- Усиление внутренней AppSec/DevSecOps-функции без найма дополнительных специалистов
- Встраивание анализа безопасности без резкой перестройки текущих процессов разработки
Комплексный анализ безопасности
SAST, Secret Detection, SCA, Image Security, MAST и DAST в рамках единого сервиса
Только подтвержденные уязвимости
Все выдаваемые результаты проходят ручную верификацию экспертами, что снижает количество false positive
Приоритизацию
и рекомендации
и рекомендации
AppSec-инженеры сервиса формируют конкретные рекомендации, подсвечивая на самом деле критичные проблемы
Прозрачные метрики безопасности
Динамика уровня защищенности, эффективность исправлений и ключевые показатели в удобном виде
Быстрое подключение
Запуск сервиса без масштабной перестройки процессов
и инфраструктуры разработки ПО
и инфраструктуры разработки ПО
Масштабирование без vendor lock
Можно наращивать объем анализа и выбирать подходящий формат работы
Как работает Jet SCALE
Что вы получаете
Этап 4
Разбор результатов инструментального сканирования и ручное тестирование
Этап 2
Артефакты разработки
передаются в контур Сервиса
передаются в контур Сервиса
(код, зависимости, собранные образы
контейнеров, бинарные файлы)
контейнеров, бинарные файлы)
Этап 3
Автоматизированное
инструментальное
сканирование
инструментальное
сканирование
Этап 5
Передача разобранных
результатов, консультация
команд разработки
результатов, консультация
команд разработки
Автоматизированное
инструментальное
сканирование
инструментальное
сканирование
Этап 3
Передача разобранных
результатов, консультация
команд разработки
результатов, консультация
команд разработки
Этап 5
Этап 6
Команда
исправляет
уязвимости
исправляет
уязвимости
Этап 1
Подключение
к Сервису
к Сервису
В основе сервиса — наша собственная технологическая платформа анализа
кода и прикладная экспертиза AppSec. Мы проверяем приложения на ключевых уровнях и дополняем автоматические проверки собственными механизмами корреляции и доанализа
кода и прикладная экспертиза AppSec. Мы проверяем приложения на ключевых уровнях и дополняем автоматические проверки собственными механизмами корреляции и доанализа
Что внутри Jet SCALE
- pattern matching (структурный анализ, regex)
- семантический анализ кода
- control flow анализ
- taint анализ
- поиск скрытых API
- разметка результатов
- обнаружение токенов, паролей, ключей и других секретов
- анализ по сигнатурам и с использованием энтропии
- собственная база уязвимостей
- определение достижимости (reachable)
- анализ эксплуатируемости (exploitable)
- анализ пакетов внутри образов
- поиск секретов в слоях
- выявление небезопасных конфигураций и избыточных привилегий
- анализ проблем базового образа
- анализ безопасности Android- и iOS-приложений
- автоматизированный статический анализ
- ручной динамический анализ и runtime-проверки
- экспертная верификация результатов
- автоматизированное сканирование
- проверка эксплуатации известных уязвимостей (CVE с PoC)
- ручное тестирование экспертами
Мы поможем вам подобрать подходящий формат анализа, оценим объем работ и предложим оптимальный сценарий подключения
Расскажем о Jet SCALE подробнее