PT Application Inspector. Анализатор защищенности исходного кода приложений

Application Inspector от компании Positive Technologies (РТ AI) — универсальный инструмент для выявления уязвимостей и ошибок в приложениях, поддерживающий процесс безопасной разработки. За счет комбинации статистических, динамических и интерактивных методов анализа решение имеет очень низкий уровень ложных срабатываний, минимизирует затраты на ручную проверку результатов.

Схема решения

Основные возможности

  • Точное выявление уязвимостей, включая подробное описание уязвимостей и условий их эксплуатации для сотрудников отделов ИБ и разработчиков;
  • Автоматическое подтверждение уязвимостей — создание безопасных запросов-эксплойтов, позволяющих специалистам проверить возможность их эксплуатации;
  • PT AI не требует установки/настройки приложения или доступа к тестовой среде, что позволяет исправлять код на самых ранних стадиях разработки;
  • Полноценная поддержка безопасной разработки кода (DevSecOps) благодаря:
    • Гибкому встраиванию PT AI в существующие процессы разработки за счет ролевой модели разграничения доступа;
    • Готовым плагинам для подключения к системам сборки и доставки приложений, баг-трекерам и IDE-системам (интегрированная среда разработки).
  • Поддерживаемые языки для анализа: PHP, Java, C#, JavaScript, Kotlin, VB. NET, Python, Objective-C, Swift, C/C++, Go, SQL (PL/SQL, T-SQL, MySQL);
  • Широкий спектр вариантов использования системы: от интернет-магазинов до корпоративных порталов и банковских систем, облачных сервисов и порталов электронного правительства;
  • Развертывание решения on premise: PT AI не передает код/другие данные за пределы периметра компании и может работать без доступа в интернет.

Ключевые преимущества

  • Выявление уязвимостей не только в работающем приложении, но и в исходном коде;
  • Автоматизация поиска уязвимостей и признаков недокументированных возможностей (НДВ) в рамках жизненного цикла безопасной разработки и аудита исходного кода;
  • Максимальный охват и приоритизация уязвимостей за счет сочетания нескольких типов анализа — статистического, динамического, интерактивного (SAST, DAST, IAST), а также анализа сторонних компонентов (SCA);
  • Регулярно пополняемая база знаний PT AI современными методами обнаружения уязвимостей от экспертов отдела исследований и разработки (R&D). Более чем 150 тыс. уязвимостей из NVD (международная база данных об уязвимостях), а также информация об уникальных уязвимостях;
  • Решение не требует наличия специальных технических знаний и экспертизы в области безопасности, предлагает оптимально спроектированный под каждую роль интерфейс с набором специальных инструментов;
  • Соответствие требованиям регулирующих организаций — PT AI имеет действующий сертификат ФСТЭК № 4000, помогает выполнять Рекомендации в области стандартизации Банка России РС БР ИББС-2.6-2014, приказы ФСТЭК, требования PA DSS (стандарт безопасности данных платежных приложений) и PCI DSS (стандарт безопасности данных платежных систем).
  • Продукт включен в Единый реестр российских программ для ЭВМ и баз данных;
  • Значительное снижение трудозатрат экспертов по ИБ на разбор результатов анализа благодаря высокой точности обнаружения и автоматической проверке уязвимостей, интерактивной диаграмме потоков данных (DFD) для обнаруженной уязвимости и др.;
  • Повышение качества, сокращение сроков разработки и тестирования программного обеспечения.
Платформа

Запрос дополнительной информации