Платформа предотвращения атак на цепочку поставок ПО
AppSec.Trackплатформа предотвращения атак на цепочку поставок ПО через компоненты с открытым исходным кодом
Собственная проприетарная база зловредных компонентов (Feed) и проверка лицензионной чистоты. Она содержит максимум актуальной информации, необходимой для разработчика. Мы умеем находить версии компонент без уязвимостей — храним информацию об обновления библиотек, их версионность и мониторим случаи, когда ранее найденные уязвимости были исправлены. Это позволяет выбрать самую безопасную версию компонентов, подходящих под архитектуру вашего проекта
# ГИБКОСТЬ
Гибкое встраивание в процессы
Инсталляция в менеджеры артефактов в виде плагина, не требующая изменения существующих CI/CD процессов
Поддерживаем большинство инструментов разработчика
# ИНСТРУМЕНТЫ
# АНАЛИТИКА
Контроль открытых библиотек
Поведенческий анализ авторов проектов библиотек с открытым исходным кодом
Dependency Track на этапе CI/CD
# ИНТЕГРАЦИИ
  • Дополнение существующих баз уязвимостей Github Advisory, NVD, OSS, Index в DepTrack информацией о malware/protestware компонентах
  • Запрос информации на основании PURL
  • Работа без изменения существующего процесса использования Dependency Track
Локальные репозитарии
  • Интеграция осуществляется с помощью установки плагина
  • Рекомендация безопасной версии без необходимости перехода в основной UI AppSec.Track
  • Возможно подключение через прокси-сервер
  • Каждый загружаемый пакет проверяется на нарушение политик, прежде чем будет доступен для скачивания разработчиком
# OSA
Модуль Open Source Analysis
Блокируйте загрузку компонентов с открытым исходным кодом без активного сканирования. Для проверки уязвимостей используется внутренняя база знаний с публичной информацией об уязвимостях и собственными исследованиями библиотек с открытым исходным кодом

Поддерживает языки репозиториев:
  • Java Java Script GO C# Python Nugget SWIFT
  • php APT Debian RPM YUM

Как работает модуль OSA

1
Подключение модуля
Непрерывно анализирует все ресурсы и open-source компоненты, используемые вашей командой разработки
2
Исследование параметров
Исследует параметры запрошенных компонентов, обращается к AppSec.Track Feed и ищет совпадения в базе потенциально опасных компонентов открытых библиотек
3
Определение уязвимостей
В случае успешного отклика плагин блокирует загрузку компонентов и присылает разработчику уведомление о найденных уязвимостях
# SCA
Модуль Software Composition Analysis
Проверяет сторонние компоненты с открытым исходным кодом в цепочке поставок ПО и блокирует использование элементов, не отвечающих настроенным политикам безопасности.
Работает с файлами манифестов:
pom.xml build.gradle package.json go.sum
Файлами артефактов:
.jar .war .whl .tar
Сканирует:
образы Docker файлы SBOM (CycloneDX)

Как работает модуль SCA

1
Создание SBOM
Создание перечня компонентов с открытым исходным кодом и других элементов, которые входят в состав программного продукта
2
Мониторинг
Интеграция с репозиториями, что позволит автоматически сканировать код по мере его добавления в хранилище и обнаруживать уязвимости на ранних этапах
3
Контроль
Контролируйте использование компонентов и проверяйте соответствие лицензионным требованиям, снижая юридические риски
# ТАРИФЫ
Гибкие тарифы
Стоимость лицензий зависит от количества пайплайнов, пользователей и размера кодовой базы, а также дополнительных модулей расширения
Open Source Analysis
Модуль OSA
Плагин для блокировки вредоносных компонентов
Software Composition Analysis
Модуль SCA
ПО для on-the-go проверки сторонних компонентов в цепочке поставок
Кастомизация тарифов
Расширения
Если нужна помощь в подборе решения или набор дополнительных модулей под конкретный проект
Получите консультацию у наших экспертов, как повысить безопасность ПО