Архив метки: CodeScoring

Картинка "Средства Детектирования Уязвимостей Кода (СДУК)" в рамках проекта карты российских около-VM-ных вендоров

1 комментарий

Картинка Средства Детектирования Уязвимостей Кода (СДУК) в рамках проекта карты российских около-VM-ных вендоров

Картинка "Средства Детектирования Уязвимостей Кода (СДУК)" в рамках проекта карты российских около-VM-ных вендоров.

Это у нас примерно соответствует SAST-ам. Извиняйте, что зачастил с картинками, но CISO Forum близко, скоро будем релизиться. 🙂 Последние драфты по САУ и СИУ выложу в следующий раз вместе, так как там мало вендоров.

Традиционный disclaimer: Характеристику не нужно воспринимать как описание всех особенностей и возможностей продукта! Тем более не стоит сравнивать продукты между собой только на основе этой характеристики. Характеристика должна показывать почему вендор попал в категорию.

Если какого-то вендора забыл в этой категории или есть вопросы по характеристикам, пишите в личку - обсудим, добавлю/поправлю. Ну или поясню почему получилось так, а не иначе. 🙂

Предыдущие картинки
- СДУИ (Инфраструктуры)
- СДУСП (Сетевого Периметра)
- СДУП (Приложений)

Средства Детектирования Уязвимостей Кода (СДУК)

Добавить комментарий

Средства Детектирования Уязвимостей Кода (СДУК).

4. Средства Детектирования Уязвимостей Кода (СДУК)

Позволяют детектировать неизвестные уязвимости (например XSS в самописном веб-приложении или переполнение буфера с перезаписью адреса возврата в серверном/десктопном приложении) и известные уязвимости CVE/БДУ на основе анализа исходного кода. Анализ, как правило, статический и проводится в рамках жизненного цикл разработки ПО (SDLC).

Positive Technologies - PT Application Inspector. Инструмент для выявления уязвимостей и тестирования безопасности приложений. Позволяет проводить статический анализ приложений (SAST) с технологией абстрактной интерпретации. Также поддерживает и другие технологии анализа: динамический (DAST), интерактивный (IAST), анализ сторонних компонентов (SCA).

Ростелеком Солар - Solar appScreener. Комплексное решение для контроля безопасности ПО c применением статического (SAST) и динамического (DAST) анализа кода. Решение обладает широкими возможностями по интеграции с репозиториями, системами отслеживания ошибок, интегрированными средами разработки и сервисами CI/CD.

НПО «Эшелон» - AK-VS 3. Инструмент для выявления дефектов кода и уязвимостей в ПО. Позволяет проводить статический анализ (SAST) кода приложений. Также поддерживает и другие технологии анализа: динамический (DAST), интерактивный (IAST), автоматизированный контроль полноты и избыточности ресурсов проекта. В состав AK-VS 3 входит модуль автоматизированного построения векторов атак.

PVS-Studio. Решение для статического анализа кода (SAST). Поддерживает языки C, C++, C# и Java. Позволяет детектировать ошибки и дефекты безопасности на основе рекомендаций CWE, OWASP Top 10 и SEI CERT Coding Standards. Также позволяет выполнять композиционный анализ кода (SCA) для C# проектов.

Стингрей. Платформа для автоматизированного анализа защищённости мобильных приложений (iOS, Android). Позволяет проводить статический анализ приложений (SAST). Также поддерживает и другие технологии анализа: динамический (DAST), интерактивный (IAST), анализ программных интерфейсов (API ST). Позволяет интегрировать в DevOps поиск, анализ дефектов и проверку соответствия стандартам для каждой сборки приложения.

Profiscope - CodeScoring. Решение для композиционного анализа исходного кода, обеспечивает защиту цепочки поставки ПО. Позволяет выявлять зависимости от Open Source и генерировать реестр компонентных связей (SBoM). Детектирует известные уязвимости по базам NVD NIST, GitHub Advisories и т.п. Обеспечивает режим защиты для прокси-репозиториев (функция OSA). Позволяет интегрироваться с основными известными репозиториями кода: GitHub, GitLab, BitBucket и Azure DevOps.