Перейти к содержанию

Функциональные возможности

Идентификация OSS-компонентов

Система позволяет идентифицировать OSS-компоненты на этапе их загрузки в контур разработки или использованию в составе разрабатываемого или проверяемого программного обеспечения. Компоненты идентифицируются с помощью purl (Package URL), а также с помощью сопоставления с базой хешей компонентов, находящихся в AppSec.Track Feed, что позволяет проверить целостность и безопасность загрузки.

Анализ OSS-компонентов на наличие известных уязвимостей

Система осуществляет проверку компонентов с открытым исходным кодом на наличие в них известных уязвимостей. Это позволяет не допустить включения в состав разрабатываемых приложений уязвимых компонентов и значительно снизить риски безопасности.

Защита от вредоносных OSS-компонентов

Проверка компонентов с открытым исходным кодом позволяет также выявлять вредоносное ПО — malware или библиотеки с protestware, опубликованные после 24 февраля 2022 года, и исключить его из состава разрабатываемых приложений.

Создание безопасного репозитория компонентов

Система позволяет организовать проверку всех компонентов, попадающих в контур разработки, а также загружаемых после этого разработчиками из внутреннего репозитория артефактов (менеджера репозиториев). Компоненты, нарушающие установленные политики безопасности буду заблокированы.

Анализ компонентов на лицензионную чистоту

Система в соответствии с заданными политиками осуществляет проверку компонентов с открытым исходным кодом на лицензионную чистоту (допустимость их использования в разрабатываемых продуктах). Это позволяет избежать соответствующих проблем еще на этапе выбора компонентов. Также система позволяет проверить совместимость используемых лицензий между собой, а также с лицензией, под которой выпускается самое приложения.

Гибкая настройка политик безопасности

AppSec.Track предоставляет возможность формировать политики безопасности и применять их к анализируемым компонентам с открытым исходным кодом. Политики в системе могут быть двух типов — блокирующие загрузку и неблокирующие. При необходимости отдельные компоненты могут быть включены в список исключений, что позволяет гибко и оперативно управлять процессом разработки ПО.

Политики безопасности в системе можно настраивать по нескольким параметрам, среди которых:

  • Наличие уязвимостей.
  • Наличие malware/protestware.
  • Дата публикации пакета.
  • Имя/группа пакета.
  • Хеш-сумма пакета.

Блокировка загрузки компонента при обнаружении проблем (OSA)

Каждый загружаемый пакет проверяется на нарушение политик безопасности, прежде чем он будет доступен для скачивания разработчиком. Система автоматически блокирует загрузку компонента разработчиком при обнаружении проблем на этапе OSA согласно настройкам политик.

Блокировка работы пайплайнов сборки и доставки приложений при нарушении политик (SCA)

При сканировании приложений AppSec.Track автоматически блокирует работу пайплайнов сборки и доставки приложений при нарушении установленных в системе политик безопасности.

Уведомление об обнаружении новых уязвимостей в приложениях в промышленной эксплуатации

В случае обнаружения новых уязвимостей в приложениях в промышленной эксплуатации (в production) система отправляет соответствующее уведомление командам разработки и безопасности.

Поддержка ключевых менеджеров репозиториев

AppSec.Track работает с ключевыми менеджерами репозиториев:

  • Nexus Repository Manager.
  • JFrog Artifactory.

Поддержка ключевых инструментов CI

AppSec.Track работает со следующими инструментами CI:

  • Gitlab CI.
  • Teamcity.
  • Jenkins.

Совместимость с DefectDojo

Начиная с версии 3.11, формат экспорта отчета о сканировании в JSON совместим с DefectDojo, что позволяет настроить импорт результатов с использованием API или производить импорт в ручном режиме.

Поддержка внешних источников данных

AppSec.Track поддерживает работу с двумя внешними источниками данных:

  • Kaspersky Feed.
  • PT PyAnalysis Feed.

Локальное редактирование уязвимостей

Система позволяет получить детальную информацию о найденных уязвимостях. Начиная с версии 4.1.0, существует возможность ручного редактирования полей уязвимости. В дальнейшем в проверках политик будут использоваться измененные значения параметров уязвимости.