РОССИЙСКОЕ РЕШЕНИЕ ДЛЯ СТАТИЧЕСКОГО АНАЛИЗА КОДА

Российское решение статического анализа приложений на уязвимости, как исходного кода, так и для анализа используемых компонентов с открытым исходным кодом (open source), с применением методологии каскадной AI-валидации найденных дефектов

Запись в реестре отечественного ПО: №23718 от 29.08.2024
Свидетельство о регистрации программы для ЭВМ №2024661307 от 16.05.2024 г.

О РЕШЕНИИ

SASTAV встраивается в SDLC на самом раннем этапе, обеспечивая раннее обнаружение уязвимостей и повышение безопасности конечных приложений. Позволяет создать полноценный цикл безопасной разработки, соответствующий требованиям регуляторов. Результаты работы могут быть представлены как в самом приложении, так и экспортированы в виде отчётов. SASTAV поддерживает практики статического анализа исходного кода (SAST) и композиционного анализа (SCA).

ПОДДЕРЖИВАЕМЫЕ ЯЗЫКИ

ASP C/C++ C# Go Groovy Java JavaScript Kotlin Lua Objective-C PHP PLSQL Perl Python Ruby Scala Swift VB6 VbNet VbScript

ФУНКЦИОНАЛЬНЫЕ ОСОБЕННОСТИ

Сканирование исходного кода (даже недописанного) без сборки
Сохранение истории триажа
Обучение системы по ранее проверенным уязвимостям
Описание уязвимости и рекомендации по устранению: понятно даже уровню junior
Композиционный анализ приложения на используемые зависимости
Формирование SBOM, выявление транзитивных зависимостей
Выявление уязвимых библиотек (в т.ч. protestware)
Удобный мониторинг и контроль
Интеграция в цикл разработки

ЕДИНЫЙ КАТАЛОГ ПРОЕКТОВ С ОЦЕНКОЙ РИСКОВ

На главном экране отображается сводный каталог всех проектов с индикаторами уровня риска для каждого. Непрерывный Health Check дает четкое понимание текущей ситуации. Мониторинг в реальном времени позволяет предпринимать своевременные действия при изменениях.

ИНТЕРФЕЙС «ПРОЕКТ»

Проект –это логическая группа репозиториев, объединенных общей целью. В разделе отображаются наборы правил сканирования, применяемые к конкретному репозиторию, ответственная команда и актуальная оценка рисков. Доступны функции множественного выбора и дальнейшей детальной настройки непосредственно из списка репозиториев.

ИНТЕРФЕЙС «РЕПОЗИТОРИЙ»

Раздел предоставляет данные о проводимых сканированиях. Здесь отображается список всех проверок с четкой цветовой индикацией, позволяющей мгновенно оценить уровень риска. Для каждого сканирования указан применяемый пресет- готовый набор правил проверки. Доступны гибкие фильтры, функция множественного выбора для групповых операций и возможность перехода к детальным настройкам. Вся ключевая информация собрана на одной странице.

ИНТЕРФЕЙС «РЕЗУЛЬТАТ СКАНИРОВАНИЯ»

Это центральный узел для анализа и управления обнаруженными уязвимостями. В разделе представлен основной список всех выявленных проблем, сортируемый по степени критичности, с возможностью быстрого перехода к фрагментам кода, содержащим дефекты.
Здесь выполняется триаж уязвимостей. Интерфейс отображает полный набор статусов, теги, цветовую дифференциацию, тип и статус дефектов.

ГРАФ

В разделе «Результат сканирования» доступно представление в виде графов.
Граф визуализирует цепочки уязвимостей, выделяя критические точки пересечения. Исправление таких узловых элементов автоматически устраняет все зависимые уязвимости ниже по графу, что даёт максимальный эффект при минимальных усилиях.
Граф — это не просто красивая картинка, а мощный аналитический инструмент, меняющий подход к устранению уязвимостей.

ИНТЕРФЕЙС «ДЕФЕКТ»

На этой странице отображается конкретный дефект, обнаруженный в процессе сканирования и открытый из его результатов. Интерфейс разработан для удобной работы с проблемным участком кода. Справа - вектор уязвимости с возможностью мгновенного перехода по связанным участкам программы. В верхней части экрана - мультивкладки, позволяющие осуществлять навигацию по коду. Для ускорения workflow прямо на странице доступна функция смены статуса дефекта в рамках процесса триажа.

ИНТЕРФЕЙС «НАСТРОЙКА ПРАВИЛ СКАНИРОВАНИЯ»

В разделе представлен набор доступных правил сканирования, где каждое правило идентифицируется как пользовательское (созданное вручную) или системное (предустановленное в решение). Для каждого правила указан соответствующий движок анализа, для которого оно предназначено, что позволяет пользователям быстро ориентироваться в доступных возможностях и понимать, какие именно технологии анализа будут задействованы при применении конкретных правил.

ИНТЕРФЕЙС «РЕДАКТОР ПРАВИЛ СКАНИРОВАНИЯ»

Инструмент для создания и редактирования пользовательских правил статического анализа с поддержкой мультивкладокв верхней части интерфейса позволяет одновременно работать с несколькими правилами для разных движков анализа. Редактор оснащен системой версионирования, которая сохраняет историю изменений каждого правила, обеспечивая возможность отслеживания правок и возврата к предыдущим версиям. В нижней части страницы отображается полный путь к правилу с указанием его владельца.

ИНТЕРФЕЙС «РЕЕСТР ЗАВИСИМОСТЕЙ»

В разделе «Реестр зависимостей» представлен перечень компонентов, в которых при сканировании могут быть выявлены уязвимости, идентифицируемые как CVE и/или идентификаторы из открытых баз данных. На данной странице пользователь имеет возможность ознакомиться с информацией о выбранном компоненте и уязвимостях, связанных с ним.

SASTAV.SCA

Российское решение для композиционного анализа приложений

ПОЧЕМУ SCA ВАЖЕН СЕЙЧАС

Использование Open Source - индустриальный стандарт: time-to-market сокращается, издержки снижаются, однако одновременно с этим растут риски:

уязвимости в используемых компонентах,
протестное ПО (protestware),
лицензионные ограничения, конфликтующие с политикой компании.

SASTAV.SCA

Мы разработали модуль SCA, который делает использование Open Source безопасным и управляемым. Его задача - дать вашей команде уверенность в компонентах, с которыми вы работаете, и освободить время для главного - разработки ценного продукта.

КЛЮЧЕВЫЕ ВОЗМОЖНОСТИ

Точность и полнота: собственная логика определения наличия уязвимости на базе качественных источников и экспертизы в protestware. Точнее находим - быстрее исправляем.

Лицензионный контроль: выявление рисков используемых в компании лицензий OS компонентов и несоответствий политики компании.

Широкий охват: поддержка исходного кода, дистрибутивных пакетов, Docker-образов, SBOM, директорий и отдельных файлов.

Интеграция: совместимость с Nexus, JFrog, Harbor и другими репозиториями артефактов.

Dependency Firewall: контроль открытых компонентов до их попадания в компанию.

Два режима работы: классический анализ и сетевой proxy-режим для раннего перехвата.

Встраивание в SDLC: бесшовная интеграция в CI/CD, работа в закрытых контурах.

Управляемость: ролевая модель доступов, гибкие политики, блокирующие проверки безопасности и пороги качества.

Наглядность: интерактивный граф зависимостей и детальный состав компонентов: от пакета и версии до лицензии и риска.

РЕЖИМЫ РАБОТЫ

Два режима - один результат: ранний перехват рисков.

Классический SCA

высокоточный поиск и приоритизация уязвимостей;
интеграция в CI/CD, работа в закрытых контурах;
встроенные политики и пороги качества в релизном процессе.

Dependency Firewall

установка в качестве активного или пассивного контроля за репозиториями артефактов;
режимы работы proxy для потока данных и event для реакции на события под разные сценарии и процессы компании;
блокирующие проверки безопасности и пороги качества на уровне артефактов в репозиториях.

КАИВ

Каскадная AI-валидация дефектов кода

Каскадная AI-валидация дефектов кода – методология, позволяющая использовать искусственный интеллект (AI) для автоматизации триажа срабатываний SAST-анализатора и предоставления обоснованного решения.

КЛЮЧЕВЫЕ ПРЕИМУЩЕСТВА ПОДХОДА:

Повышение качества исправлений Конкретные рекомендации и анализ критичности позволяют команде сосредоточиться на наиболее важных аспектах.

Ускорение реакции Снижение времени от момента обнаружения проблемы до ее устранения.

Оптимизация трудозатрат Значительное уменьшение усилий команды на ручной триаж и анализ.