РОССИЙСКОЕ РЕШЕНИЕ ДЛЯ СТАТИЧЕСКОГО АНАЛИЗА КОДА

Российское решение статического анализа приложений на уязвимости, как исходного кода, так и для анализа используемых компонентов с открытым исходным кодом (open source), с применением методологии каскадной AI-валидации найденных дефектов

Запись в реестре отечественного ПО: №23718 от 29.08.2024

О РЕШЕНИИ

SASTAV встраивается в SDLC на самом раннем этапе, обеспечивая раннее обнаружение уязвимостей и повышение безопасности конечных приложений. Позволяет создать полноценный цикл безопасной разработки, соответствующий требованиям регуляторов. Результаты работы могут быть представлены как в самом приложении, так и экспортированы в виде отчётов. SASTAV поддерживает практики статического анализа исходного кода (SAST) и композиционного анализа (SCA).

ПОДДЕРЖИВАЕМЫЕ ЯЗЫКИ

ASP C/C++ C# Go Groovy Java JavaScript Kotlin Lua Objective-C PHP PLSQL Perl Python Ruby Scala Swift VB6 VbNet VbScript

ФУНКЦИОНАЛЬНЫЕ ОСОБЕННОСТИ

Сканирование исходного кода (даже недописанного) без сборки
Сохранение истории триажа
Обучение системы по ранее проверенным уязвимостям
Описание уязвимости и рекомендации по устранению: понятно даже уровню junior
Композиционный анализ приложения на используемые зависимости
Формирование SBOM, выявление транзитивных зависимостей
Выявление уязвимых библиотек (в т.ч. protestware)
Удобный мониторинг и контроль
Интеграция в цикл разработки

ЕДИНЫЙ КАТАЛОГ ПРОЕКТОВ С ОЦЕНКОЙ РИСКОВ

На главном экране отображается сводный каталог всех проектов с индикаторами уровня риска для каждого. Непрерывный Health Check дает четкое понимание текущей ситуации. Мониторинг в реальном времени позволяет предпринимать своевременные действия при изменениях.

ИНТЕРФЕЙС «ПРОЕКТ»

Проект –это логическая группа репозиториев, объединенных общей целью. В разделе отображаются наборы правил сканирования, применяемые к конкретному репозиторию, ответственная команда и актуальная оценка рисков. Доступны функции множественного выбора и дальнейшей детальной настройки непосредственно из списка репозиториев.

ИНТЕРФЕЙС «РЕПОЗИТОРИЙ»

Раздел предоставляет данные о проводимых сканированиях. Здесь отображается список всех проверок с четкой цветовой индикацией, позволяющей мгновенно оценить уровень риска. Для каждого сканирования указан применяемый пресет- готовый набор правил проверки. Доступны гибкие фильтры, функция множественного выбора для групповых операций и возможность перехода к детальным настройкам. Вся ключевая информация собрана на одной странице.

ИНТЕРФЕЙС «РЕЗУЛЬТАТ СКАНИРОВАНИЯ»

Это центральный узел для анализа и управления обнаруженными уязвимостями. В разделе представлен основной список всех выявленных проблем, сортируемый по степени критичности, с возможностью быстрого перехода к фрагментам кода, содержащим дефекты.
Здесь выполняется триаж уязвимостей. Интерфейс отображает полный набор статусов, теги, цветовую дифференциацию, тип и статус дефектов.

ГРАФ

В разделе «Результат сканирования» доступно представление в виде графов.
Граф визуализирует цепочки уязвимостей, выделяя критические точки пересечения. Исправление таких узловых элементов автоматически устраняет все зависимые уязвимости ниже по графу, что даёт максимальный эффект при минимальных усилиях.
Граф — это не просто красивая картинка, а мощный аналитический инструмент, меняющий подход к устранению уязвимостей.

ИНТЕРФЕЙС «ДЕФЕКТ»

На этой странице отображается конкретный дефект, обнаруженный в процессе сканирования и открытый из его результатов. Интерфейс разработан для удобной работы с проблемным участком кода. Справа - вектор уязвимости с возможностью мгновенного перехода по связанным участкам программы. В верхней части экрана - мультивкладки, позволяющие осуществлять навигацию по коду. Для ускорения workflow прямо на странице доступна функция смены статуса дефекта в рамках процесса триажа.

ИНТЕРФЕЙС «НАСТРОЙКА ПРАВИЛ СКАНИРОВАНИЯ»

В разделе представлен набор доступных правил сканирования, где каждое правило идентифицируется как пользовательское (созданное вручную) или системное (предустановленное в решение). Для каждого правила указан соответствующий движок анализа, для которого оно предназначено, что позволяет пользователям быстро ориентироваться в доступных возможностях и понимать, какие именно технологии анализа будут задействованы при применении конкретных правил.

ИНТЕРФЕЙС «РЕДАКТОР ПРАВИЛ СКАНИРОВАНИЯ»

Инструмент для создания и редактирования пользовательских правил статического анализа с поддержкой мультивкладокв верхней части интерфейса позволяет одновременно работать с несколькими правилами для разных движков анализа. Редактор оснащен системой версионирования, которая сохраняет историю изменений каждого правила, обеспечивая возможность отслеживания правок и возврата к предыдущим версиям. В нижней части страницы отображается полный путь к правилу с указанием его владельца.

ИНТЕРФЕЙС «РЕЕСТР ЗАВИСИМОСТЕЙ»

В разделе «Реестр зависимостей» представлен перечень компонентов, в которых при сканировании могут быть выявлены уязвимости, идентифицируемые как CVE и/или идентификаторы из открытых баз данных. На данной странице пользователь имеет возможность ознакомиться с информацией о выбранном компоненте и уязвимостях, связанных с ним.

КАИВ

Каскадная AI-валидация дефектов кода

Каскадная AI-валидация дефектов кода – методология, позволяющая использовать искусственный интеллект (AI) для автоматизации триажа срабатываний SAST-анализатора и предоставления обоснованного решения.

КЛЮЧЕВЫЕ ПРЕИМУЩЕСТВА ПОДХОДА:

Повышение качества исправлений Конкретные рекомендации и анализ критичности позволяют команде сосредоточиться на наиболее важных аспектах.

Ускорение реакции Снижение времени от момента обнаружения проблемы до ее устранения.

Оптимизация трудозатрат Значительное уменьшение усилий команды на ручной триаж и анализ.