SolidLab OST. Сервис предоставления данных об уязвимостях open source компонентов

Cервис предоставляет базу данных уязвимостей компонентов Open Source, которая наполняется информацией об уязвимостях из открытых источников, включая БДУ ФСТЭК, а также агрегирует данные о компонентах из исходных репозиториев. 

Решение помогает идентифицировать уязвимые компоненты в рамках процесса Software Composition Analysis (SCA). 

Сценарии использования

  • Выбор компонентов. Сервис может использоваться для принятия обоснованных решений о применимости компонентов программного обеспечения в процессе разработки.

  • Сборка в CI/CD. Сервис может быть встроен в процесс CI/CD для автоматического сканирования компонентов на предмет уязвимостей и проблем лицензирования.

  • Прохождение Security Gate. Сервис может применяться в рамках формальной проверки соответствия требованиям безопасности перед выпуском релиза программного обеспечения.

  • Мониторинг в продуктивной среде. Сервис может являться источником оперативной информации о появлении новых уязвимостей в компонентах уже опубликованных приложений.


Ключевые функциональные особенности

Интеграция с внешними источниками
Сервис собирает данные об уязвимостях из внешних источников, таких как CVE, БДУ ФСТЭК, GitLab Advisory, Github Advisory, Google OSV и других.

Агрегирование и корреляция данных
При загрузке в БД данные недостатков предварительно обрабатываются, фильтруются и приводятся к общему формату, выполняется их дедупликация. Сервис также автоматически определяет имена пакетов и их версии.

Взаимодействие с сервисом
Сервис предоставляет доступ к информации о недостатках через REST API либо может интегрироваться с инструментами класса SCA.

Работа с репозиториями открытого кода
Сервис выполняет поиск недавно измененных репозиториев с открытым кодом и проводит статический анализ скачанного кода на предмет уязвимостей и закладок.


Преимущества SolidLab OST

Повышение безопасности
Сервис дает возможность выявлять и исправлять уязвимости информационной безопасности в разрабатываемых приложениях, что снижает риски для критичных информационных систем и данных.

Улучшение качества
Сервис SolidLab OST позволяет обнаруживать проблемы с компонентами программного обеспечения, не связанные с безопасностью, что повышает общее качество и надежность приложений.

Повышение эффективности процессов
Сервис поддерживает принятие обоснованных и своевременных решений на различных этапах жизненного цикла программных продуктов, что сокращает задержки, а также расход ресурсов в процессе их разработки и эксплуатации.

Соответствие требованиям
Сервис помогает организациям обеспечить соответствие нормативным требованиям в области информационной безопасности, а также требованиям к лицензионной чистоте разрабатываемого программного обеспечения.

Техническая поддержка и дополнительные сервисы сопровождения

  • Настройка средств анализа защищенности, включая разработку индивидуальных правил, подавление ложных срабатываний и определение уровня критичности недостатков.

  • Проверка эксплуатируемости выявленных недостатков и написание тестовых сценариев для демонстрации недостатка (Proof of Concept).

  • Консультационная поддержка процессов защищенной разработки, включая консультации по созданию защищенной архитектуры приложений и практикам защищенного кодирования, а также разработку нормативной документации.

  • Интеграция решения в инфраструктуру заказчика самостоятельно или в рамках платформы защищенной разработки.
  • Анализ срабатываний инструментов анализа защищенности и консультации по устранению выявленных недостатков.

  • Обучение специалистов заказчика практикам защищенной разработки.

  • Разработка аналитических отчетов.