Краткое описание возможностей
Интеллектуальная платформа защищенной разработки приложений SolidLab предназначена для поиска и анализа недостатков в исходном коде с целью повышения уровня защищенности разрабатываемых информационных систем. Модули, входящие в состав Платформы, осуществляют инструментальный анализ защищенности приложений в процессе их разработки, а найденные недостатки передаются в единый интерфейс для управления находками. В данном интерфейсе пользователи Платформы могут ознакомиться с информацией о выявленных недостатках защищенности, управлять задачами по их устранению, в том числе приоритизировать данные задачи.
Платформа предоставляет программный интерфейс (API) для автоматизации задач инструментального анализа защищенности приложений.
Сценарии использования:
-
выявление недостатков защищенности в приложениях в процессе их разработки;
-
встраивание проверок защищенности в процессы разработки приложений;
-
оценка защищенности информационных систем на основе результатов инструментального анализа защищенности;
-
валидация обнаруженных недостатков и реализация процесса устранения выявленных недостатков.
Размещение
Платформа размещается на стороне Исполнителя и является комплексом технических и программных средств, основанных на инфраструктуре в качестве сервиса, предоставляемых провайдерами. Платформа предназначена для оказания услуг по моделям программного обеспечение в виде сервиса и управляемых услуг (managed service).
Документация
Для получения руководства по эксплуатации следует нажать на кнопку ниже «Руководство по эксплуатации»:
Руководство по эксплуатации
Функциональные характеристики
SolidLab SDP - интеллектуальная платформа защищенной разработки приложений.
Платформа представляет из себя совокупность инструментов, сканеров, сервисов и средств автоматизации, гибко настраиваемых под потребности клиентов и предназначенных для выявления недостатков защищенности в приложениях.
Платформа размещается на стороне Исполнителя и является комплексом технических и программных средств, основанных на инфраструктуре в качестве сервиса, предоставляемых провайдерами. Платформа предназначена для оказания услуг по моделям программного обеспечение в виде сервиса и управляемых услуг (managed service).
Платформа состоит из набора независимых подсистем, что предоставляет возможность для:
-
использования только специфичных подсистем для решения конкретных задач;
-
изменения состава подсистем в процессе эксплуатации без простоя уже внедренных подсистем;
-
оптимизации выделенных для подсистем вычислительных мощностей.
В зависимости от решаемых задач в состав SolidLab SDP могут входить:
-
подсистема централизованной обработки и хранения обнаруженных недостатков защищенности, а также отображения результатов работы других подсистем;
-
подсистема поиска недостатков защищенности методами статического анализа исходного кода приложений;
-
подсистема динамического анализа приложений на уязвимости;
-
подсистема поиска оставленных секретов в исходном коде приложений;
-
подсистема анализа описаний инфраструктуры в виде исходного кода на наличие недостатков защищенности;
-
подсистема анализа используемых программных компонентов на известные уязвимости;
-
подсистема анализа компонентов в образах контейнеров на известные уязвимости.
Функциональные характеристики:
-
получение исходного кода приложения для анализа из репозиториев исходного кода;
-
возможность выбора подсистем, с помощью которых выполняется анализ конкретной информационной системы;
-
выполнение нескольких задач инструментального анализа одновременно, формирование очереди задач на анализ;
-
выгрузка недостатков защищенности, найденных всеми компонентами, в централизованную подсистему обработки и хранения обнаруженных недостатков;
-
возможность объединения результатов анализа нескольких подсистем в одну группу в подсистеме обработки и хранения обнаруженных недостатков;
-
возможность фильтрации выявленных недостатков в подсистеме обработки и хранения обнаруженных недостатков;
-
возможность выполнения ручной верификации найденных недостатков и анализа критичности недостатков;
-
возможность реализации процесса отслеживания исправления выявленных недостатков защищенности;
-
возможность настройки гранулярных прав доступа к результатам анализа в подсистеме обработки и хранения обнаруженных недостатков;
-
отображение статистики по выявленным недостаткам защищенности;
-
создание отчетов по результатам анализа и верификации выявленных недостатков защищенности;
-
поиск недостатков защищенности методами статического анализа без компиляции исходного кода приложений;
-
поиск недостатков защищенности методами статического анализа для различных языков программирования, включая: С, C++, C#, Go, Java, JavaScript, Kotlin, TypeScript, Ruby, Rust, PHP, Python, Scala, Swift;
-
поиск различных недостатков защищенности методами статического анализа, включая: инъекции (в том числе XSS, SQLi, SSTI), недостатки десериализации пользовательских данных, SSRF, XXE, RCE;
-
составление поверхности атаки в подсистеме динамического анализа приложений с помощью различных методов, включающих поиск входных точек с помощью статического и динамического обхода веб-приложений;
-
поиск различных недостатков защищенности подсистемой динамического анализа, включая: Reflected XSS, DOM-based XSS, SQL-инъекция, XXE, Path Traversal;
-
поиск оставленных секретов в исходном коде приложений и в истории коммитов;
-
анализ защищенности описаний инфраструктуры в виде исходного кода, включая описания инфраструктуры для следующих систем: Terraform, Kubernetes, Docker, Ansible;
-
поиск известных уязвимостей в программных компонентах, используемых в приложениях, собираемых с помощью систем, включая: npm, maven, gradle, pypi, composer, go;
-
анализ компонентов в образах Docker-контейнеров на известные уязвимости.
В работе подсистем Платформы используются: