Описание инструмента
AppSec.Hub — это DevSecOps платформа автоматизированного управления и контроля процессов разработки защищенного программного обеспечения.
В рамках DevSecOps процесса разработки AppSec.Hub позволяет реализовать следующие преимущества:
- Обеспечивать полномасштабную интеграцию инструментов AST (Application Security Testing) с инструментами разработки ПО.
- Осуществлять комплексный контроль информационной безопасности приложений.
- Настроить процесс разработки индивидуально для каждого приложения.
- Упростить работу с найденными инструментами AST проблемами безопасности путем проведения их корреляционного анализа и группировки.
- Осуществлять консолидацию, анализ и визуализацию данных, собранных в ходе работы инструментов AST с инструментов разработки.
- Обеспечить эффективное взаимодействие специалистов по обеспечению информационной безопасности с командами разработки и эксплуатации.
- Оперативно получать и анализировать результаты тестирования безопасности приложений и передавать их команде разработчиков.
- Устанавливать собственные критерии качества информационной безопасности и автоматизировать контроль их выполнения.
- Автоматизировать процессы обеспечения информационной безопасности.
- Снизить стоимость исправления дефектов информационной безопасности программного обеспечения в результате их более раннего обнаружения.
- Систематизировать и облегчить управление рисками в рамках процесса разработки.
Оркестрация
AppSec.Hub управляет процессом тестирования безопасности приложений с помощью интеграции с инструментами разработки программного обеспечения и инструментами AST, а также является единым окном для включения и настройки всех сторонних инструментов в единый цикл разработки программного обеспечения.
Список инструментов разработки ПО, сгруппированных по областям DevSecOps, выглядит следующим образом:
- Инструменты оркестрации (Orchestration, CI):
- JetBrains TeamCity.
- Jenkins.
- GitLab CI.
- Системы версионного контроля (Version Control Systems, VCS):
- Системы версионного контроля с git-интерфейсом.
- Atlassian Bitbucket.
- GitLab.
- GitHub.
- Репозитории артефактов (Repository):
- Sonatype Nexus Repository Manager.
- GitLab Repository.
- JFrog Artifactory.
- Docker Registry API v2.
- Файловые хранилища с доступом к файлам через HTTP/HTTPS.
- Системы отслеживания дефектов ПО (Defect Tracking):
- Atlassian Jira.
- JetBrains YouTrack.
- Управление базой знаний (wiki):
- Atlassian Confluence.
- Инструменты BI (Business Intelligence):
- Apache Superset.
Список инструментов AST, сгруппированных по практикам, включает в себя:
- Статическое тестирование безопасности приложений (Static Application Security Testing, SAST):
- Solar appScreener.
- SonarQube.
- Checkmarx.
- PT Application Inspector.
- Анализ структуры программного обеспечения (Software Composition Analysis, SCA):
- Clair.
- Dependency Track.
- Trivy.
- Aqua Security.
- CodeScoring.
- AppSec.Track.
- Динамическое тестирование безопасности приложений (Dynamic Application Security Testing, DAST):
- Netsparker.
- Acunetix.
- PT BlackBox.
- OWASP ZAP.
- mDAST (Stingray).
Интеграция с инструментами включает:
- Управление настройками сканирования инструментов AST.
- Управление запуском сканирований и консолидацию их результатов.
- Непрерывную интеграцию инструментов, исходного кода и репозиториев артефактов разработки.
- Взаимодействие с инструментами в пайплайнах CI/CD посредством REST API (прежде чем перейти по ссылке, пожалуйста, авторизуйтесь в AppSec.Hub) и утилит CLI.
- Двунаправленную синхронизацию с системами отслеживания ошибок, сбор соответствующей информации из репозиториев кода приложений и поддержку управления релизами.
- Управление требованиями к безопасности приложений, включая определение критериев качества (QG) для безопасности приложений и оценку соответствия приложения стандартам информационной безопасности.
Корреляция
AppSec.Hub осуществляет:
- Обработку найденных проблем безопасности, используя двухступенчатый алгоритм, реализованный с использованием технологии машинного обучения.
- Приоритезацию уязвимостей и синхронизацию выявленных дефектов безопасности с системой отслеживания ошибок.
Аналитика
AppSec.Hub агрегирует и визуализирует данные о работе приложений и информационной безопасности. Реализован следующий функционал:
- Отслеживание статуса информационной безопасности как отдельных приложений, так и для выбранной группы разрабатываемых приложений.
- Визуализация метрик и аналитических отчетов с различным уровнем детализации.
- Анализ эффективности применяемых процессов с помощью имплементированных в системе информационных панелей и отчетов.
- Мониторинг ключевых показателей эффективности (KPI).