Skip to main content
Version: 1.5

Общие сведения

Платформа ТRON.ASOC — это единая система управления уязвимостями и контроля безопасности на всех этапах жизненного цикла разработки ПО (DevSecOps). Продукт выступает в роли централизованного хаба, который агрегирует, нормализует и анализирует данные десятков инструментов безопасности, превращая разрозненные результаты сканирований в управляемые бизнес-процессы.

Бесшовная интеграция и экосистема безопасности

Платформа выступает универсальным коннектором для обширного стека инструментов ИБ, поддерживая работу как с проприетарными, так и с open-source решениями:

  • Глубокий SAST: PT Application Inspector, Solar AppScreener (поддержка как исходного, так и бинарного кода), PVS-Studio, Semgrep, GitLab Advanced SAST, SASTAV, ESLint.
  • Безопасность контейнеров и IaC: Kaspersky Container Security, Trivy, Grype, Aqua, KICS.
  • SCA/OSA (анализ состава ПО): CodeScoring, OWASP Dependency Track.
  • Управление артефактами: JFrog.
  • Безопасность мобильных платформ: AppSec.Sting (анализ готовых билдов .apk/.ipa).
  • Безопасность кода и секретов: Gitleaks (поиск hardcoded secrets).

Платформа не только получает отчеты, но и управляет процессом сканирования: инициирует проверки, настраивает параметры и планирует их запуск.

Критически важной особенностью является возможность ручного внесения уязвимостей (Manual), что позволяет учитывать результаты внутренних аудитов и пентестов в общей статистике.

Управление уязвимостями (Vulnerability Management)

TRON ASOC трансформирует процесс обработки найденных дефектов из реактивного в проактивный.

Пользователь может оценивать критичность и бизнес-влияние уязвимостей, изменять их статусы и назначать приоритеты для разработчиков.

Встроенные механизмы комментирования создают бесшовную коммуникацию между специалистами ИБ и разработчиками непосредственно в контексте конкретной проблемы.

Гибкая система внесения исключений (False Positive, Accepted Risk) с возможностью настройки времени действия и области применения правил позволяет не возвращаться к уже решенным вопросам и фокусироваться на актуальных угрозах.

Качество релизов и контроли качества (Quality Gates)

Платформа внедряет концепцию «контрольных точек» (Quality Gates) на каждом этапе ИБ-пайплайна.

С помощью критериев приемки пользователь может настраивать метрики качества для каждого сканирования (например, «запрещены критические уязвимости», «не превышен порог по плотности дефектов»).

На основе этих критериев TRON ASOC автоматически принимает решение об успешности прохождения слоя проверок, блокируя переход продукта на следующий этап (например, в продуктив) при несоответствии стандартам безопасности.

Аналитика, отчетность и прогнозирование

Платформа также позволяет визуализировать и оценивать DevSecOps-процессы.

Интерактивные дашборды предоставляют наглядную информацию о состоянии безопасности проектов в реальном времени.

Накопление исторических данных позволяет не просто констатировать факт наличия уязвимостей, а прогнозировать риски и оценивать динамику "выздоровления" кодовой базы.

Кроме того, пользователю доступна возможность выгружать детализированные отчеты в различных форматах для интеграции с корпоративными системами GRC и SIEM.

Архитектура и корпоративная инфраструктура

Платформа не требует наличия внешних CI-пайплайнов для своей работы, что позволяет внедрять культуру безопасной разработки даже в средах со строгими политиками безопасности или изолированных контурах.

Поддержка LDAP, Active Directory и SSO позволяет централизованно управлять учетными записями.

Гибкая настройка прав доступа (RBAC) позволяет разграничить возможности между разработчиками (просмотр/доработка), аналитиками ИБ (верификация/отклонение) и аудиторами (только просмотр).