Cервис предоставляет базу данных уязвимостей компонентов Open Source, которая наполняется информацией об уязвимостях из открытых источников, включая БДУ ФСТЭК, а также агрегирует данные о компонентах из исходных репозиториев.
Решение помогает идентифицировать уязвимые компоненты в рамках процесса Software Composition Analysis (SCA).
Сценарии использования
-
Выбор компонентов. Сервис может использоваться для принятия обоснованных решений о применимости компонентов программного обеспечения в процессе разработки.
-
Сборка в CI/CD. Сервис может быть встроен в процесс CI/CD для автоматического сканирования компонентов на предмет уязвимостей и проблем лицензирования.
-
Прохождение Security Gate. Сервис может применяться в рамках формальной проверки соответствия требованиям безопасности перед выпуском релиза программного обеспечения.
- Мониторинг в продуктивной среде. Сервис может являться источником оперативной информации о появлении новых уязвимостей в компонентах уже опубликованных приложений.
Ключевые функциональные особенности
Интеграция с внешними источниками
Сервис собирает данные об уязвимостях из внешних источников, таких как CVE, БДУ ФСТЭК, GitLab Advisory, Github Advisory, Google OSV и других.
Агрегирование и корреляция данных
При загрузке в БД данные недостатков предварительно обрабатываются, фильтруются и приводятся к общему формату, выполняется их дедупликация. Сервис также автоматически определяет имена пакетов и их версии.
Взаимодействие с сервисом
Сервис предоставляет доступ к информации о недостатках через REST API либо может интегрироваться с инструментами класса SCA.
Работа с репозиториями открытого кода
Сервис выполняет поиск недавно измененных репозиториев с открытым кодом и проводит статический анализ скачанного кода на предмет уязвимостей и закладок.
Преимущества SolidLab OST
Повышение безопасности
Сервис дает возможность выявлять и исправлять уязвимости информационной безопасности в разрабатываемых приложениях, что снижает риски для критичных информационных систем и данных.
Улучшение качества
Сервис SolidLab OST позволяет обнаруживать проблемы с компонентами программного обеспечения, не связанные с безопасностью, что повышает общее качество и надежность приложений.
Повышение эффективности процессов
Сервис поддерживает принятие обоснованных и своевременных решений на различных этапах жизненного цикла программных продуктов, что сокращает задержки, а также расход ресурсов в процессе их разработки и эксплуатации.
Соответствие требованиям
Сервис помогает организациям обеспечить соответствие нормативным требованиям в области информационной безопасности, а также требованиям к лицензионной чистоте разрабатываемого программного обеспечения.
Техническая поддержка и дополнительные сервисы сопровождения
-
Настройка средств анализа защищенности, включая разработку индивидуальных правил, подавление ложных срабатываний и определение уровня критичности недостатков.
-
Проверка эксплуатируемости выявленных недостатков и написание тестовых сценариев для демонстрации недостатка (Proof of Concept).
-
Консультационная поддержка процессов защищенной разработки, включая консультации по созданию защищенной архитектуры приложений и практикам защищенного кодирования, а также разработку нормативной документации.
- Интеграция решения в инфраструктуру заказчика самостоятельно или в рамках платформы защищенной разработки.
-
Анализ срабатываний инструментов анализа защищенности и консультации по устранению выявленных недостатков.
-
Обучение специалистов заказчика практикам защищенной разработки.
-
Разработка аналитических отчетов.