Описание функциональных характеристик SolidLab SDP

Краткое описание возможностей

Интеллектуальная платформа защищенной разработки приложений SolidLab предназначена для поиска и анализа недостатков в исходном коде с целью повышения уровня защищенности разрабатываемых информационных систем. Модули, входящие в состав Платформы, осуществляют инструментальный анализ защищенности приложений в процессе их разработки, а найденные недостатки передаются в единый интерфейс для управления находками. В данном интерфейсе пользователи Платформы могут ознакомиться с информацией о выявленных недостатках защищенности, управлять задачами по их устранению, в том числе приоритизировать данные задачи. 

Платформа предоставляет программный интерфейс (API) для автоматизации задач инструментального анализа защищенности приложений.

Сценарии использования:

  • выявление недостатков защищенности в приложениях в процессе их разработки;

  • встраивание проверок защищенности в процессы разработки приложений;

  • оценка защищенности информационных систем на основе результатов инструментального анализа защищенности;

  • валидация обнаруженных недостатков и реализация процесса устранения выявленных недостатков.

 

Назначение и условия применения

SolidLab SDP предназначена для реализации процесса анализа защищенности исходного кода приложений путем:

  • получения исходного кода анализируемого приложения;

  • анализа полученного исходного кода методами статического анализа;

  • анализа полученного исходного кода на оставленные секреты;

  • анализа описаний инфраструктуры в виде исходного кода на наличие недостатков;

  • выявления недостатков защищенности в исходном коде, валидации найденных недостатков и реализации процесса устранения недостатков;

  • получения статистики по выявленным недостаткам защищенности.

 Платформа разворачивается на мощностях Исполнителя.

 

Функциональные характеристики

SolidLab SDP - интеллектуальная платформа защищенной разработки приложений.

Платформа представляет из себя совокупность инструментов, сканеров, сервисов и средств автоматизации, гибко настраиваемых под потребности клиентов и предназначенных для выявления недостатков защищенности в приложениях.

Платформа состоит из набора независимых подсистем, что предоставляет возможность для:

  • использования только специфичных подсистем для решения конкретных задач;

  • изменения состава подсистем в процессе эксплуатации без простоя уже внедренных подсистем;

  • оптимизации выделенных для подсистем вычислительных мощностей.

В зависимости от решаемых задач в состав SolidLab SDP могут входить:

  • подсистема централизованной обработки и хранения обнаруженных недостатков защищенности, а также отображения результатов работы других подсистем;

  • подсистема поиска недостатков защищенности методами статического анализа исходного кода приложений;

  • подсистема динамического анализа приложений на уязвимости;

  • подсистема поиска оставленных секретов в исходном коде приложений;

  • подсистема анализа описаний инфраструктуры в виде исходного кода на наличие недостатков защищенности;

  • подсистема анализа используемых программных компонентов на известные уязвимости;

  • подсистема анализа компонентов в образах контейнеров на известные уязвимости.

Функциональные характеристики:

  • получение исходного кода приложения для анализа из репозиториев исходного кода;

  • возможность выбора подсистем, с помощью которых выполняется анализ конкретной информационной системы;

  • выполнение нескольких задач инструментального анализа одновременно, формирование очереди задач на анализ;

  • выгрузка недостатков защищенности, найденных всеми компонентами, в централизованную подсистему обработки и хранения обнаруженных недостатков;

  • возможность объединения результатов анализа нескольких подсистем в одну группу в подсистеме обработки и хранения обнаруженных недостатков;

  • возможность фильтрации выявленных недостатков в подсистеме обработки и хранения обнаруженных недостатков;

  • возможность выполнения ручной верификации найденных недостатков и анализа критичности недостатков;

  • возможность реализации процесса отслеживания исправления выявленных недостатков защищенности;

  • возможность настройки гранулярных прав доступа к результатам анализа в подсистеме обработки и хранения обнаруженных недостатков;

  • отображение статистики по выявленным недостаткам защищенности;

  • создание отчетов по результатам анализа и верификации выявленных недостатков защищенности;

  • поиск недостатков защищенности методами статического анализа без компиляции исходного кода приложений;

  • поиск недостатков защищенности методами статического анализа для различных языков программирования, включая: С, C++, C#, Go, Java, JavaScript, Kotlin, TypeScript, Ruby, Rust, PHP, Python, Scala, Swift;

  • поиск различных недостатков защищенности методами статического анализа, включая: инъекции (в том числе XSS, SQLi, SSTI), недостатки десериализации пользовательских данных, SSRF, XXE, RCE;

  • составление поверхности атаки в подсистеме динамического анализа приложений с помощью различных методов, включающих поиск входных точек с помощью статического и динамического обхода веб-приложений;

  • поиск различных недостатков защищенности подсистемой динамического анализа, включая: Reflected XSS, DOM-based XSS, SQL-инъекция, XXE, Path Traversal;

  • поиск оставленных секретов в исходном коде приложений и в истории коммитов;

  • анализ защищенности описаний инфраструктуры в виде исходного кода, включая описания инфраструктуры для следующих систем: Terraform, Kubernetes, Docker, Ansible;

  • поиск известных уязвимостей в программных компонентах, используемых в приложениях, собираемых с помощью систем, включая: npm, maven, gradle, pypi, composer, go;

  • анализ компонентов в образах Docker-контейнеров на известные уязвимости.

В работе подсистем Платформы используются:

  • собственные базы уязвимостей, поставляемые вместе с Платформой;

  • общедоступные базы уязвимостей.

Документация

Руководство по эксплуатации