Application Inspector от компании Positive Technologies (РТ AI) — универсальный инструмент для выявления уязвимостей и ошибок в приложениях, поддерживающий процесс безопасной разработки. За счет комбинации статистических, динамических и интерактивных методов анализа решение имеет очень низкий уровень ложных срабатываний, минимизирует затраты на ручную проверку результатов.
Схема решения
Основные возможности
- Точное выявление уязвимостей, включая подробное описание уязвимостей и условий их эксплуатации для сотрудников отделов ИБ и разработчиков;
- Автоматическое подтверждение уязвимостей — создание безопасных запросов-эксплойтов, позволяющих специалистам проверить возможность их эксплуатации;
- PT AI не требует установки/настройки приложения или доступа к тестовой среде, что позволяет исправлять код на самых ранних стадиях разработки;
- Полноценная поддержка безопасной разработки кода (DevSecOps) благодаря:
- Гибкому встраиванию PT AI в существующие процессы разработки за счет ролевой модели разграничения доступа;
- Готовым плагинам для подключения к системам сборки и доставки приложений, баг-трекерам и IDE-системам (интегрированная среда разработки).
- Поддерживаемые языки для анализа: PHP, Java, C#, JavaScript, Kotlin, VB. NET, Python, Objective-C, Swift, C/C++, Go, SQL (PL/SQL, T-SQL, MySQL);
- Широкий спектр вариантов использования системы: от интернет-магазинов до корпоративных порталов и банковских систем, облачных сервисов и порталов электронного правительства;
- Развертывание решения on premise: PT AI не передает код/другие данные за пределы периметра компании и может работать без доступа в интернет.
Ключевые преимущества
- Выявление уязвимостей не только в работающем приложении, но и в исходном коде;
- Автоматизация поиска уязвимостей и признаков недокументированных возможностей (НДВ) в рамках жизненного цикла безопасной разработки и аудита исходного кода;
- Максимальный охват и приоритизация уязвимостей за счет сочетания нескольких типов анализа — статистического, динамического, интерактивного (SAST, DAST, IAST), а также анализа сторонних компонентов (SCA);
- Регулярно пополняемая база знаний PT AI современными методами обнаружения уязвимостей от экспертов отдела исследований и разработки (R&D). Более чем 150 тыс. уязвимостей из NVD (международная база данных об уязвимостях), а также информация об уникальных уязвимостях;
- Решение не требует наличия специальных технических знаний и экспертизы в области безопасности, предлагает оптимально спроектированный под каждую роль интерфейс с набором специальных инструментов;
- Соответствие требованиям регулирующих организаций — PT AI имеет действующий сертификат ФСТЭК № 4000, помогает выполнять Рекомендации в области стандартизации Банка России РС БР ИББС-2.6-2014, приказы ФСТЭК, требования PA DSS (стандарт безопасности данных платежных приложений) и PCI DSS (стандарт безопасности данных платежных систем).
- Продукт включен в Единый реестр российских программ для ЭВМ и баз данных;
- Значительное снижение трудозатрат экспертов по ИБ на разбор результатов анализа благодаря высокой точности обнаружения и автоматической проверке уязвимостей, интерактивной диаграмме потоков данных (DFD) для обнаруженной уязвимости и др.;
- Повышение качества, сокращение сроков разработки и тестирования программного обеспечения.
Отрасль
Платформа