ПЕРВЫЙ ШАГ К КИБЕРУСТОЙЧИВОСТИ КОМПАНИИ

Риски возникают на каждом этапе: от написания кода до релиза

88%

Приложений содержат как минимум одну критическую уязвимость

80%

Кода разработчики берут из открытых источников

90%

Веб-приложений содержат уязвимости, пропускающие атаки

Типичные проблемы при внедрении

  • Не знаем, с чего начать внедрение процессов безопасной разработки

  • Нет понимания методологий и опыта внедрения безопасной разработки, приходится «ходить по граблям»

  • Непонятно, какие инструменты нужны в первую очередь, как их выбрать и использовать

  • Cложно самим разобраться с нюансами настройки решения, нужна помощь экспертов

  • Сложно разобраться в требованиях регуляторов в части анализа кода

  • У разработчиков нет экспертизы по безопасности, их учили писать код

  • Непонятно, как убедить разработчиков, что безопасность нужна в разработке

  • Нет единой базы полезной информации и best practices по интеграции Solar appScreener в цикл DevOps

  • Сложно найти качественное российское решение по анализу кода, сравнимое с западными по техническим характеристикам, которое отвечает нашим задачам

  • Надо предотвратить утечки данных пользователей и избежать репутационных потерь для бизнеса

  • Нужен инструмент по написанию и тестированию собственных правил на основе математической модели Solar appScreener

СОСТАВ ДОМЕНА

Подбираем под каждый случай индивидуальный набор инструментов

В основе подхода —  единая технологическая платформа для комплексного анализа безопасности приложений

  • Единый интерфейс для удобного управления сканированиями

  • Корреляция результатов разных видов анализа и подробный отчет

  • Технология Fuzzy Logic Engine для сокращения ложных срабатываний

  • Статический анализ кода (SAST)

    помогает найти уязвимости и недекларированные возможности в исходном коде мобильных и веб-приложений на раннем этапе разработки. Технологии анализа исполняемых файлов позволяют применять SAST, даже когда разработка закончена и нет возможности проанализировать исходный код проекта.

  • Динамический анализ кода (DAST)

    анализирует веб-приложения, отправляя заведомо неверные данные и проверяя реакцию приложения на них.

  • Модуль анализа состава ПО (SCA)

    анализирует open-source-библиотеки и зависимости в коде на наличие уязвимостей и снижает риск использования уязвимых компонентов в разрабатываемом ПО.

  • Модуль анализа безопасности цепочки поставок ПО (SCS)

    контролирует безопасность open source на протяжении всего пути (от создания/покупки до использования), по которому компоненты попадают в компанию. Отслеживает подозрительную активность в сторонних библиотеках и дает комплексную оценку их безопасности.

Коннекторы к технологическим модулям

передают результаты сканирований между ядром и технологическими модулями.

  • Единый интерфейс для удобного управления сканированиями

  • Корреляция результатов разных видов анализа и подробный отчет

  • Технология Fuzzy Logic Engine для сокращения ложных срабатываний

  • Статический анализ кода (SAST)

    помогает найти уязвимости и недекларированные возможности в исходном коде мобильных и веб-приложений на раннем этапе разработки. Технологии анализа исполняемых файлов позволяют применять SAST, даже когда разработка закончена и нет возможности проанализировать исходный код проекта.

  • Динамический анализ кода (DAST)

    анализирует веб-приложения, отправляя заведомо неверные данные и проверяя реакцию приложения на них.

  • Модуль анализа состава ПО (SCA)

    анализирует open-source-библиотеки и зависимости в коде на наличие уязвимостей и снижает риск использования уязвимых компонентов в разрабатываемом ПО.

  • Модуль анализа безопасности цепочки поставок ПО (SCS)

    контролирует безопасность open source на протяжении всего пути (от создания/покупки до использования), по которому компоненты попадают в компанию. Отслеживает подозрительную активность в сторонних библиотеках и дает комплексную оценку их безопасности.

Коннекторы к технологическим модулям

передают результаты сканирований между ядром и технологическими модулями.

Консультация по построению процессов безопасной разработки

  • Разработка программы перехода на SSDLC

  • Анализ уровня зрелости процессов безопасной разработки, оценка бизнес- и технических процессов контроля разработки ПО

  • Построение/модернизация процесса безопасной разработки

  • Формирование стандартов, регламентов и методологий, адаптированных под заказчика

  • Анализ исходных кодов или готовых приложений по требованию

Тонкая настройка продукта и его адаптация под потребности заказчика:

  • Правила

  • Фильтры

  • Интеграция с другими инструментами

  • API

Апробированные методики обучения сотрудников

  • 2–3 рабочих дня

  • Очно и онлайн

  • Сертификат

Тематика обучения
  • Обучение основам построения процессов безопасной разработки
  • Эффективная работа с Solar appScreener
  • Работа с результатами сканирований кода
Что получают участники обучения
  • Прикладные знания и навыки, которые можно использовать в ежедневной работе
  • Обучение от практикующих экспертов «Солар»
  • Презентацию обучения

Техническая поддержка: от внедрения до использования

Что входит в услугу

  • Размещение запросов через электронную почту, диспетчерскую службу или систему обработки запросов

  • Расширенная диагностика инцидентов и консультации по вопросам настройки и администрирования

  • Подробные рекомендации, как применять решения без проблем и ошибок

  • Обновление до свежих версий и внедрение исправлений (патчей) в рамках всего срока техобслуживания

  • Конкретные SLA по реагированию на запросы в зависимости от уровня их критичности — от 4 рабочих часов

Ключевые преимущества комплексного подхода

TIME-TO-MARKET

Ускоряем выпуск продукта на рынок

СНИЖЕНИЕ ЗАТРАТ

Помогаем сэкономить на исправлении уязвимостей перед релизом

ПРЕДСКАЗУЕМОСТЬ

Помогаем построить предсказуемый процесс разработки без сюрпризов

КОМПЛАЕНС

Подводим под требования регуляторов по безопасности кода

СОКРАЩЕНИЕ РИСКОВ

Снижаем риски ИБ, связанные с уязвимостями в коде

УДОБСТВО

Организуем коммуникацию ИБ, ИТ и разработки

ИСТОРИИ УСПЕХА

Наше преимущество — клиентоцентричность

Логотип ИБ "АК Барс Цифровые Технологии"

«Наша задача как разработчика банковских сервисов – гарантировать конфиденциальность этой информации, поэтому мы уделяем большое внимание безопасности наших продуктов еще на этапе разработки»

Айдар Замалиев, руководитель ИБ "АК Барс Цифровые Технологии"

Логотип Naumen

«Сегодня, когда количество киберугроз постоянно растет, для нас было очень важно найти надежное решение, которое обеспечивает высокое качество сканирования кода с использованием ведущих технологий в этой область»

Дмитрий Рубин, директор операционного бизнеса Naumen

Логотип Bimeister

«Одно из преимуществ инструмента – в простоте развертывания и интеграции благодаря тем возможностям, которые в него заложены. Качество работы и скорость реакции технической поддержки «РТК-Солар» также стало для нас одним из решающих факторов»

Сергей Стрелков, технический директор Bimeister

Под нашей защитой

Узнать больше о предложении