Перейти к содержанию

Описание инструмента

AppSec.Hub — это DevSecOps платформа автоматизированного управления и контроля процессов разработки защищенного ПО.

AppSec.Hub позволяет интегрировать практики информационной безопасности в непрерывный процесс разработки (DevOps) и таким образом реализует DevSecOps, решая следующие задачи:

  • Оркестрация - автоматизирует все интеграции между инструментами анализа защищенности и существующими процессами разработки.
  • Корреляция - позволяет автоматизировать процесс управления уязвимостями и дефектами ИБ, контролировать передачу их в команды разработки и отслеживать исправление.
  • Аналитика - дает возможность всесторонне измерять как уровень защищенности ПО, так эффективность самого DevSecOps-процесса.

В рамках DevSecOps процесса разработки AppSec.Hub позволяет реализовать следующие преимущества:

  • Автоматизировать процессы обеспечения информационной безопасности.
  • Осуществлять комплексный контроль информационной безопасности приложений.
  • Оперативно получать и анализировать результаты тестирования безопасности приложений и передавать их команде разработчиков, обеспечивая эффективное взаимодействие инженеров ИБ с командой разработки.
  • Снизить стоимость исправления дефектов безопасности в результате их более раннего обнаружения.

Оркестрация

AppSec.Hub управляет процессом тестирования безопасности приложений с помощью интеграции с инструментами разработки ПО и инструментами AST, а также является единым окном для включения и настройки всех сторонних инструментов в единый цикл разработки ПО.

Список инструментов приведен в разделе «Интегрируемые инструменты».

Интеграция с инструментами включает:

  • Полномасштабную интеграцию инструментов AST с инструментами разработки ПО.
  • Управление настройками сканирования инструментов AST.
  • Настроить процесс разработки индивидуально для каждого приложения.
  • Управление запуском сканирований и консолидацию их результатов.
  • Непрерывную интеграцию инструментов, исходного кода и репозиториев артефактов разработки.
  • Взаимодействие с инструментами в пайплайнах CI/CD посредством REST API и утилит CLI.
  • Двунаправленную синхронизацию с системами отслеживания ошибок, сбор соответствующей информации из репозиториев кода приложений и поддержку управления релизами.
  • Управление требованиями к безопасности приложений, включая определение критериев качества для безопасности приложений и оценку соответствия приложения стандартам информационной безопасности, и автоматизацию контроля их выполнения.

Корреляция

AppSec.Hub позволяет:

  • Упростить работу с найденными инструментами AST уязвимостями путем проведения их корреляционного анализа и группировки.
  • Осуществить обработку найденных проблем безопасности, используя встроенный в систему инструмент для проведения анализа корреляции уязвимостей приложения и получения предсказаний, или облачное SaaS-решение с улучшенным качеством предсказаний.
  • Проводить приоритезацию уязвимостей и синхронизацию выявленных дефектов безопасности с проектной системой отслеживания ошибок.

Аналитика

AppSec.Hub агрегирует и визуализирует данные о работе приложений и информационной безопасности. Реализован следующий функционал:

  • Консолидация, анализ и визуализация данных, собранных в ходе работы системы.
  • Отслеживание статуса информационной безопасности как отдельных приложений, так и для выбранной группы разрабатываемых приложений.
  • Визуализация метрик и аналитических отчетов с различным уровнем детализации.
  • Анализ эффективности применяемых процессов с помощью дашбордов и метрик.
К началу