Перейти к основному содержимому
Версия: 1.4

Общие сведения

Платформа «ТRON.ASOC» осуществляет комплексный контроль информационной безопасности разрабатываемых проектов, обеспечивая надежную защиту на всех этапах разработки:

  • интегрируется с внешними сканерами безопасности, такими как статический анализатор исходного кода PT Application Inspector и анализатор безопасности контейнеров Kaspersky Container Security.
  • интегрируется со статическим анализатором кода приложений Solar AppScreener (не только исходного, но и бинарного кода) на наличие уязвимостей и НДВ.
  • взаимодействует с решениями композиционного анализа программных продуктов CodeScoring и OWASP Dependency Track.
  • интегрируется с платформой JFrog, предназначенной для управления и развертывания программных пакетов.
  • может принимать и анализировать отчеты, обрабатывать полученные результаты от следующих инструментов:
    • Trivy - сканер уязвимостей с открытым исходным кодом, разработанный для контейнерных сред,
    • Grype - эффективный сканер контейнеров, Docker-образов и файловых систем на наличие уязвимостей,
    • KICS (Keeping Infrastructure as Code Secure) - инструмент с открытым исходным кодом от Checkmarx, предназначенный для анализа безопасности инфраструктуры как кода (IaC, Infrastructure as Code),
    • Semgrep - cтатический сканер безопасности приложений,
    • Aqua - решение, обеспечивающее комплексную нативную защиту контейнеров,
    • ESLint - открытый статический анализатор для JavaScript/ECMAScript,
    • PVS-Studio - статический анализатор исходного кода на наличие ошибок, потенциальных уязвимостей и других проблем, связанных с качеством кода,
    • SASTAV — инструмент статического анализа исходного кода (SAST), который выявляет уязвимости, дефекты и нарушения безопасности на этапе сборки или в CI/CD,
    • GitLab Advanced SAST - инструмент статического анализа исходного кода (SAST), встроенный в GitLab,
    • AppSec.Sting - инструмент, предназначенный для анализа безопасности мобильных приложений по готовым билдам (.apk, .ipa).
  • позволяет добавлять уязвимости вручную (Manual) для построения комплексных метрик.
  • предоставляет возможность управлять проверками исходного кода и образов контейнеров на известные уязвимости, ошибки конфигурации, секреты, а также работать с результатами этих проверок в едином интерфейсе. Интеграция с инструментами позволяет настраивать сканирования, запускать проверки, консолидировать, анализировать и обрабатывать результаты, а также производить мониторинг состояния безопасности разрабатываемых продуктов.
  • помогает группировать, исследовать и устранять уязвимости из различных источников, обеспечивая тем самым безопасный процесс разработки.
  • упрощает работу с найденными проблемами и уязвимостями, проводя их анализ и группировку для более эффективного управления безопасностью.
  • позволяет оценивать влияние уязвимостей, изменять их статусы и приоритизировать для последующих шагов, управлять исключениями. Таким образом, продукт позволяет управлять уязвимостями ПО и защитой приложений на всех этапах разработки.
  • позволяет оставлять комментарии к уязвимостям и просматривать комментарии от других пользователей.
  • позволяет создавать и настраивать точки контроля качества ПО для каждого ИБ-пайплайна, иметь способ организации критериев качества каждого сканирования. На основе критериев контроля качества система решает, успешно ли завершилась работа конвейера проверок безопасности и позволяет определить, может ли продукт перейти на следующий этап разработки или выпуска на основе заданных критериев качества.
  • предоставляет возможность внесения исключений в результаты отработки, получаемые от сканеров, в ASOC, что позволяет не подсвечивать уже обработанные и принятые проблемы безопасности. Время действия и область применения правил исключений можно настраивать.
  • является единым источником данных об уязвимостях в ПО от инструментов с разными типами проверок (SAST, Container Security, OSA/SCA, DAST) и, таким образом, может стать единым инструментом контроля качества ПО.
  • предлагает использовать дашборды, отчеты и метрики внутри продукта, которые предоставляют гибкие формы отчетности и аналитические данные для оценки текущего состояния безопасности проектов, прогнозирования рисков и принятия решений. C помощью визуализации данных платформа предоставляет пользователям наглядную информацию о состоянии безопасности их проектов.
  • внедряет безопасность и управление рисками в непрерывные процессы разработки, при этом не требует для работы внешних CI-конвейеров
  • предлагает удобный пользовательский интерфейс, доступный в современных браузерах на движке Chromium (Google Chrome, Яндекс Браузер, Edge, Safari и т.д.) и Firefox.
  • поддерживает создание гибкой ролевой модели, позволяя настроить различные уровни доступа и разрешений для пользователей, что способствует более эффективному и безопасному управлению проектами.
  • поддерживает интеграцию с LDAP и AD.
  • поддерживает интеграцию с SSO.
  • предоставляет возможности для управления сканированиями, включая настройку параметров сканирования, планирование запусков и мониторинг выполнения сканирований.
  • позволяет выгружать отчеты по результатам сканирований в разных форматах, что обеспечивает удобство интеграции с другими системами и инструментами анализа данных.