Перейти к основному содержимому
Версия: 1.2

Что нового

Обновления версии 1.2 направлены на улучшение пользовательского взаимодействия с продуктом TRON.ASOC, а также внедрение новых инструментов и источников сканирования.

Новые интеграции

Внедрены следующие интегрции:

  • Интеграции новых инструментов:
    • Интеграция с инструментом Semgrep (SAST). Данный статический сканер безопасности приложений используется для защиты программного обеспечения путем проверки исходного кода программного обеспечения, для выявления источников уязвимостей.
    • Рефакторинг интеграции с инструментом Codescoring. Добавлена возможность работать с полным функционалом (политики безопасности, поиск секретов, достижимость, дерево зависимостей, ssc-плагин и тд.).
    • Интеграция с инструментом Aqua Security. Данное решение обеспечивает комплексную нативную защиту контейнеров.
  • Интеграции новых источников:
    • Интеграция с JFrog Artifactory, как с источником сканирования. Платформа JFrog предназначена для управления и развертывания программных пакетов.
    • Интеграция с Harbor, как с источником поставки образов.
  • Инфраструктурные интеграции
    • Интеграция с тикет-системой Jira. Для гибкой работы и оперативной реакции на проблемы безопасности предусмотрена настройка маппинга с Jira, а также создание тикета (Item) и отслеживание его состояния. Предусмотрена возможность создавать Item в Jira вручную и автоматически, с помощью применения политик реагирования, а также получение результатов закрытия тикета в систему ASOC, тем самым избавляя от необходимости ручного отслеживания состояния в Jira и обновления данных в ASOC.
    • Интеграция с SMTP-сервером для отправки уведомлений на электронную почту.
    • Интеграция с LDAP/AD. Добавлены следующие возможности:
      • Управление корпоративными учетными записями на основе:
        • Локального хранилища учетных записей (LDAP)
        • Учетных записей домена Active Directory (AD)
        • Автоматический импорт пользователей из AD.
        • Маппинг пользовательских групп из AD на внутренние пользовательские группы системы ASOC.

Новые функции/разделы продукта

  • Правила реагирования (Response policy). Добавлена настройка уведомлений при любых событиях в системе.
  • Детализированный отчет по подключенному проекту в формате PDF.
  • Продвинутая ролевая модель. Представлена гранулярная ролевая модель, позволяющая тонко настраивать доступы пользователей и групп пользователей к функционалу решения. Основные возможности:
    • Расширенная матрица доступов для ролей
    • Настройка доступов пользователей на чтение/изменение/удаление объектов с помощью чекбоксов
    • Специфичные доступы для разделов Запуск сканирования/Создание отчета
    • Назначение прав отдельно для каждой роли, глобально или на конкретный проект/тэг, в том числе на добавление/использование инструментов
  • Библиотека SBOM. Функционал загрузки SBOM вручную и просмотра всех зависимостей, используемых в проекте, на уровне кода и на уровне образа контейнера, фильтрации по зависимостям кода и зависимостям образа контейнера.

Улучшение интерфейса и возможностей

  1. Отслеживание практик SSDL. Добавлено отображение применяемых инструментов в разделе Проекты с возможностью фильтрации, а также в дэшборде каждого проекта добавлен график использования инструментов.
  2. Расширенный список метрик безопасной разработки в ASOC. Доступна возможность сбора и консолидации данных, по ключевым показателям эффективности и метрикам процесса разработки защищенного программного кода, включая:
    • Общие показатели в разрезе конкретных систем/сервисов/приложений, подразделений разработки программного кода и организации в целом
    • % покрытия имеющихся информационных систем/приложений практиками безопасной разработки
    • Среднее время жизни дефекта ИБ (Lead Time)
    • Среднее время идентификации дефектов ИБ (Mean-Time-To-Detect)
    • Среднее время исправления дефектов ИБ (Mean-Time-To-Resolve)
    • Среднее время нахождения в определенном статусе
    • Количество уязвимостей в проектах
    • Количество открытых уязвимостей в проектах
    • Количество наиболее критичных уязвимостей и дефектов ИБ
    • Процент устраненных уязвимостей и дефектов ИБ
    • Интегральный риск-индекс в разрезе систем/сервисов/приложений
    • Динамика интегрального риск-индекса по всему портфолио систем/сервисов/приложений
    • Плотность риска
    • Количество дубликатов уязвимостей
    • Частота сканирования
    • Коэффициент частоты сканирования
    • Среднее время сканирования
    • Количество security rules и проблем, которые попали под security rules
    • Количество уязвимостей по типам инструментов безопасности в проекте
    • Количество уязвимостей по источникам сканирования в проекте
  3. Обновлена Информационная панель (Дашборд), Добавлена Кастомизация дашборда:
    • Возможность создавать в UI дэшборды по кастомному пользовательскому фильтру
    • Возможность выбирать для дашборда различные варианты визуализации: линейный график, столбчатая и круговая диаграммы, карточка
    • Возможность накладывать несколько метрик на график по выбору пользователя
    • Возможность настраивать месторасположение, размер графиков, удалять/добавлять графики в рамках предложенных
  4. Расширены настройки фильтрации. Добавлена возможность фильтрации по дополнительным полям и фильтрация объектов по отдельным значениям CWE.
  5. Добавлена возможность переиспользовать Шаблоны конвейеров безопасности (пайплайнов) в других проектах/пайплайнах. Позволяет полностью или частично сохранить и создать из шаблона в другом пайплайне параметры Проверка безопасности (Security check), Контроль качества (Security gate), Источник (Source).
  6. Добавлена Кастомизация уровня критичности (Severity) внутри ASOC. Позволяет вручную изменять уровень критичности (Severity) для проблем безопасности (Issue).
  7. Ручное заведение Проблем безопасности (Issues) - Возможность вручную заводить Issue, описывать необходимые параметры и возможность загружать результаты сканирования от любых инструментов в формате JSON.
  8. Возможность вручную задавать Имена интеграций с одним и тем же типом инструмента.
  9. Расширена информация о Проекте. Реализована возможность кастомизации полей (владелец, бизнес юнит, номер проекта, статус выполнения каких-либо требований ИБ (комплаенс, сетевые политики) и т.д.) и возможность просматривать/редактировать/добавлять/удалять характеристики проекта.

Исправленные ошибки

Доработки, в основном, связаны с добавлением нового функционала, интеграций и улучшением пользовательского интерфейса.

Совместимость и требования

Не изменились

Инструкция по установке

Руководство администратора

Обратная связь и поддержка

Руководство пользователя

Заключение

Дальнейшие доработки продукта, в большинстве своем, связаны с внедрением AI-Помощника, который будет предлагать комплексные решения проблем с безопасностью разработки на основе полученных результатов сканирований, а также расширением возможностей интеграции с различными системами.