Российское решение статического анализа приложений на уязвимости, как исходного кода, так и для анализа используемых компонентов с открытым исходным кодом (open source), с применением методологии каскадной AI-валидации найденных дефектов

Запись в реестре отечественного ПО: №23718 от 29.08.2024
Свидетельство о регистрации программы для ЭВМ №2024661307 от 16.05.2024 г.

О РЕШЕНИИ
SASTAV встраивается в SDLC на самом раннем этапе, обеспечивая раннее обнаружение уязвимостей и повышение безопасности конечных приложений. Позволяет создать полноценный цикл безопасной разработки, соответствующий требованиям регуляторов. Результаты работы могут быть представлены как в самом приложении, так и экспортированы в виде отчётов. SASTAV поддерживает практики статического анализа исходного кода (SAST) и композиционного анализа (SCA).
ПОДДЕРЖИВАЕМЫЕ ЯЗЫКИ
ASP C/C++ C# Go Groovy Java JavaScript Kotlin Lua Objective-C PHP PLSQL Perl Python Ruby Scala Swift VB6 VbNet VbScript
ФУНКЦИОНАЛЬНЫЕ ОСОБЕННОСТИ
  • Сканирование исходного кода (даже недописанного) без сборки
  • Сохранение истории триажа
  • Обучение системы по ранее проверенным уязвимостям
  • Описание уязвимости и рекомендации по устранению: понятно даже уровню junior
  • Композиционный анализ приложения на используемые зависимости
  • Формирование SBOM, выявление транзитивных зависимостей
  • Выявление уязвимых библиотек (в т.ч. protestware)
  • Удобный мониторинг и контроль
  • Интеграция в цикл разработки
ЕДИНЫЙ КАТАЛОГ ПРОЕКТОВ С ОЦЕНКОЙ РИСКОВ
На главном экране отображается сводный каталог всех проектов с индикаторами уровня риска для каждого. Непрерывный Health Check дает четкое понимание текущей ситуации. Мониторинг в реальном времени позволяет предпринимать своевременные действия при изменениях.
ИНТЕРФЕЙС «ПРОЕКТ»
Проект –это логическая группа репозиториев, объединенных общей целью. В разделе отображаются наборы правил сканирования, применяемые к конкретному репозиторию, ответственная команда и актуальная оценка рисков. Доступны функции множественного выбора и дальнейшей детальной настройки непосредственно из списка репозиториев.
ИНТЕРФЕЙС «РЕПОЗИТОРИЙ»
Раздел предоставляет данные о проводимых сканированиях. Здесь отображается список всех проверок с четкой цветовой индикацией, позволяющей мгновенно оценить уровень риска. Для каждого сканирования указан применяемый пресет- готовый набор правил проверки. Доступны гибкие фильтры, функция множественного выбора для групповых операций и возможность перехода к детальным настройкам. Вся ключевая информация собрана на одной странице.
ИНТЕРФЕЙС «РЕЗУЛЬТАТ СКАНИРОВАНИЯ»
Это центральный узел для анализа и управления обнаруженными уязвимостями. В разделе представлен основной список всех выявленных проблем, сортируемый по степени критичности, с возможностью быстрого перехода к фрагментам кода, содержащим дефекты.
Здесь выполняется триаж уязвимостей. Интерфейс отображает полный набор статусов, теги, цветовую дифференциацию, тип и статус дефектов.
ГРАФ
В разделе «Результат сканирования» доступно представление в виде графов.
Граф визуализирует цепочки уязвимостей, выделяя критические точки пересечения. Исправление таких узловых элементов автоматически устраняет все зависимые уязвимости ниже по графу, что даёт максимальный эффект при минимальных усилиях.
Граф — это не просто красивая картинка, а мощный аналитический инструмент, меняющий подход к устранению уязвимостей.
ИНТЕРФЕЙС «ДЕФЕКТ»
На этой странице отображается конкретный дефект, обнаруженный в процессе сканирования и открытый из его результатов. Интерфейс разработан для удобной работы с проблемным участком кода. Справа - вектор уязвимости с возможностью мгновенного перехода по связанным участкам программы. В верхней части экрана - мультивкладки, позволяющие осуществлять навигацию по коду. Для ускорения workflow прямо на странице доступна функция смены статуса дефекта в рамках процесса триажа.
ИНТЕРФЕЙС «НАСТРОЙКА ПРАВИЛ СКАНИРОВАНИЯ»
В разделе представлен набор доступных правил сканирования, где каждое правило идентифицируется как пользовательское (созданное вручную) или системное (предустановленное в решение). Для каждого правила указан соответствующий движок анализа, для которого оно предназначено, что позволяет пользователям быстро ориентироваться в доступных возможностях и понимать, какие именно технологии анализа будут задействованы при применении конкретных правил.
ИНТЕРФЕЙС «РЕДАКТОР ПРАВИЛ СКАНИРОВАНИЯ»
Инструмент для создания и редактирования пользовательских правил статического анализа с поддержкой мультивкладокв верхней части интерфейса позволяет одновременно работать с несколькими правилами для разных движков анализа. Редактор оснащен системой версионирования, которая сохраняет историю изменений каждого правила, обеспечивая возможность отслеживания правок и возврата к предыдущим версиям. В нижней части страницы отображается полный путь к правилу с указанием его владельца.
ИНТЕРФЕЙС «РЕЕСТР ЗАВИСИМОСТЕЙ»
В разделе «Реестр зависимостей» представлен перечень компонентов, в которых при сканировании могут быть выявлены уязвимости, идентифицируемые как CVE и/или идентификаторы из открытых баз данных. На данной странице пользователь имеет возможность ознакомиться с информацией о выбранном компоненте и уязвимостях, связанных с ним.
КАИВ
Каскадная AI-валидация дефектов кода
Каскадная AI-валидация дефектов кода – методология, позволяющая использовать искусственный интеллект (AI) для автоматизации триажа срабатываний SAST-анализатора и предоставления обоснованного решения.
КЛЮЧЕВЫЕ ПРЕИМУЩЕСТВА ПОДХОДА:
Повышение качества исправлений Конкретные рекомендации и анализ критичности позволяют команде сосредоточиться на наиболее важных аспектах.
Ускорение реакции Снижение времени от момента обнаружения проблемы до ее устранения.
Оптимизация трудозатрат Значительное уменьшение усилий команды на ручной триаж и анализ.
ПРИОБРЕТЕНИЕ И ПОДДЕРЖКА
Приобретение
По вопросам приобретения SASTAV просим обращаться в компанию ООО "Пайнап".

Cтоимость ПО SASTAV рассчитывается индивидуально, уточнить стоимость можно обратившись в компанию ООО "Пайнап" по телефону или электронной почте, указанным ниже.

Телефон: +7 499 502 1375
Электронная почта: sales
Техническая поддержка
Техническая поддержка предоставляется в рабочие дни с 10 до 19 (Мск).
Телефон
О РАЗРАБОТЧИКЕ
Компания ShiftLeft Security (ООО «Пайнап») была основана в 2015 году и является частью российской группы компаний ITD Group. Основная сфера деятельности компании — разработка программного обеспечения для информационной безопасности (ИБ) и DevSecOps. В штате ООО «Пайнап» работает команда опытных разработчиков, инженеров и технических специалистов, обладающих значительным опытом создания, внедрения и эксплуатации специализированных продуктов. Главный офис компании расположен в Москве.

Основные направления работы
  1. Разработка программного обеспечения.
  2. Предоставление экспертных консультаций и рекомендаций по вопросам, связанным с применением разрабатываемых решений.
  3. Обеспечение технической поддержки и обновлений разработанных программных решений для обеспечения их стабильности и эффективности.

Используемые технологии

При разработке ПО используются языки программирования Java, TypeScript. ПО распространяется в виде набора docker-образов, предназначенных для запуска на ЭВМ под управлением ОС на базе Linux.

Программное обеспечение SASTAV является собственной разработкой ООО «Пайнап» и распространяется в виде неисключительных прав на использование.
Окончательная стоимость является коммерческой тайной и формируется индивидуально под заказ.

Контактная информация
Юридический/фактический адрес: 115114, г. Москва, ул Дербеневская, д. 15Б, помещ. 2/1
Телефон: +7 499 502 1375
Электронная почта: support, sales