Назначить встречу
Платформа предотвращения атак на цепочку поставок ПО
ЗАКАЗАТЬ ДЕМО
AppSec.Track — платформа предотвращения атак на цепочку поставок ПО через компоненты с открытым исходным кодом
# ГИБКОСТЬ
Гибкое встраивание в процессы и аналитика OSS
Инсталляция в менеджеры артефактов в виде плагина, не требующая изменения существующих CI/CD процессов. Получайте рекомендации для разработчиков по выбору безопасной версии компонента и уведомления при обнаружении новых уязвимостей в продуктивной среде
ГОСТ
ГОСТ Р 15408

Требования к OSA/SCA в ГОСТ Р 56939 2024
ФСТЭК
Приказ ФСТЭК № 17 (п.18, 20 - практики выявления, анализа и устранения уязвимостей информационной системы) - в части заимствованного ПО

Приказ ФСТЭК № 21 (п.8, 11 - практики выявления, анализа и устранения уязвимостей информационной системы) - в части заимствованного ПО

Приказ ФСТЭК № 239 (п. 11.2, 12.6, п. 29.3 - практики выявления, анализа и устранения уязвимостей информационной системы) - в части заимствованного ПО
100% отечественный
В едином реестре программного обеспечения РФ № 20 552 от 14.12.2023
AppSec.Track помогает
выполнить требования регуляторов
# FEED
Контроль открытых библиотек
Собственная проприетарная база зловредных компонентов и проверка лицензионной чистоты. Мы храним информацию об обновлении библиотек, их версионности и мониторим случаи, когда ранее найденные уязвимости были исправлены. Это позволяет выбрать самую безопасную версию компонентов, подходящих под архитектуру вашего проекта. А еще платформа проводит поведенческий анализ авторов проектов библиотек с открытым исходным кодом
Поддерживаем большинство инструментов разработчика
# ИНСТРУМЕНТЫ
Dependency Track
на этапе CI/CD
# ИНТЕГРАЦИИ
  • Дополнение существующих баз уязвимостей Github Advisory, NVD, OSS, Index в DepTrack информацией о malware/protestware компонентах
  • Запрос информации на основании PURL
  • Работа без изменения существующего процесса использования Dependency Track
Локальные репозитарии
  • Интеграция осуществляется с помощью установки плагина
  • Рекомендация безопасной версии без необходимости перехода в основной UI AppSec.Track
  • Возможно подключение через прокси-сервер
  • Каждый загружаемый пакет проверяется на нарушение политик, прежде чем будет доступен для скачивания разработчиком
# OSA
Модуль Open Source Analysis
Блокируйте загрузку компонентов с открытым исходным кодом без активного сканирования. Для проверки уязвимостей используется внутренняя база знаний с публичной информацией об уязвимостях и собственными исследованиями библиотек с открытым исходным кодом

Поддерживает языки репозиториев:
  • Java Java Script GO C# Python Nugget SWIFT
  • php APT Debian RPM YUM

Как работает модуль OSA

Подключение модуля
Непрерывно анализирует все ресурсы и open-source компоненты, используемые вашей командой разработки
Исследование параметров
Исследует параметры запрошенных компонентов, обращается к AppSec.Track Feed и ищет совпадения в базе потенциально опасных компонентов открытых библиотек
Определение уязвимостей
В случае успешного отклика плагин блокирует загрузку компонентов и присылает разработчику уведомление о найденных уязвимостях
# SCA
Модуль Software Composition Analysis
Проверяет сторонние компоненты с открытым исходным кодом в цепочке поставок ПО и блокирует использование элементов, не отвечающих настроенным политикам безопасности.
Работает с файлами манифестов:
pom.xml build.gradle package.json go.sum
Файлами артефактов:
.jar .war .whl .tar
Сканирует:
образы Docker файлы SBOM (CycloneDX)

Как работает модуль SCA

Создание SBOM
Создание перечня компонентов с открытым исходным кодом и других элементов, которые входят в состав программного продукта
Мониторинг
Интеграция с репозиториями, что позволит автоматически сканировать код по мере его добавления в хранилище и обнаруживать уязвимости на ранних этапах
Контроль
Контролируйте использование компонентов и проверяйте соответствие лицензионным требованиям, снижая юридические риски
# ТАРИФЫ
Гибкие тарифы
Стоимость лицензий зависит от количества пайплайнов, пользователей и размера кодовой базы, а также дополнительных модулей расширения
Open Source Analysis
Модуль OSA
Плагин для блокировки вредоносных компонентов
Модуль OSA и доступ к собственной проприетарной базе вредоносных компонентов
Инсталляция в менеджеры артефактов в виде плагина
10 репозиториев на Java, Java Script, GO, C#, Python, Nugget, SWIFT, php
Интеграции с LDAP/SSO/active directory
Базовая техническая поддержка
УЗНАТЬ
Software Composition Analysis
Модуль SCA
ПО для on-the-go проверки сторонних компонентов в цепочке поставок
Модуль SCA
Модуль Monitoring
Интеграция в CI/CD, интеграция с SCA инструментомDependency Track в качестве источника данных о malware/protestware в компонентах
Поведенческий анализ контрибьюторов open-source проектов
Базовая техническая поддержка
УЗНАТЬ
Кастомизация тарифов
Расширения
Если нужна помощь в подборе решения или набор дополнительных модулей под конкретный проект
Дополнительные форматы для модуля OSA: APT, Debian, RPM, YUM
Проверка чистоты лицензий
УЗНАТЬ
Получите консультацию у наших экспертов, как повысить безопасность ПО