PT Application Inspector SSDL Edition листовка
3 likes358 views
Документ описывает продукт pt application inspector ssdl edition, который помогает упростить и улучшить процессы безопасной разработки программного обеспечения для различных секторов, включая финансы и IT. Основные преимущества включают автоматизацию выявления уязвимостей и интеграцию с IT-инфраструктурой, что снижает стоимость разработки и минимизирует риски. Программное обеспечение поддерживает соблюдение требований регуляторов и предоставляет удобные инструменты для разработчиков и экспертов по информационной безопасности.
PT Application Inspector SSDL Edition листовка
- 1. PT AI SSDL — КРАТКОЕ ОПИСАНИЕ ПРОДУКТА PT APPLICATION INSPECTOR SSDL EDITION: ПОМОГАЕТ ВЫСТРОИТЬ ПРОЦЕСС БЕЗОПАСНОЙ РАЗРАБОТКИ Деятельность финансовых и промышленных предприятий, телекоммуникационных и IТ-ком- паний, СМИ и государственных учреждений сложно представить без автоматизации. Офици- альные сайты, электронные торговые площадки, системы документооборота, учета, дистан- ционного банковского обслуживания и множество других приложений призваны сократить число рутинных операций и повысить эффективность работы. Однако вместе с функциональностью растет и сложность реализации приложений. Разра- ботчикам все труднее выявлять и исправлять ошибки, которые приводят к возникновению критически опасных уязвимостей. По данным Positive Research, 70% приложений содержат уязвимости высокой степени риска и 100% — средней. Действуя от лица злоумышленника, экспертам удавалось получить доступ во внутреннюю сеть организации и к конфиденци- альной информации пользователей. Это объясняется недостаточным уровнем зрелости процессов информационной безопасно- сти, отсутствием культуры безопасной разработки и удобных инструментов для разработчи- ков и служб ИБ. В результате аудит безопасности если и проводится, то уже развернутого и готового к использованию приложения, что в сотни раз повышает стоимость исправления обнаруженных уязвимостей. ПРЕИМУЩЕСТВА ДЛЯ РУКОВОДИТЕЛЕЙ Безопасное и качествен- ное ПО. Процесс безопас- ной разработки — SSDL (secure software development lifecycle) позволяет создавать качественное и надежное программное обеспечение. PT AI SSDL помогает внедрить SSDL в рабочие процессы и культуру организации. Сокращение стоимости разработки. Автоматизация выявления и устранения уяз- вимостей экономит трудовые, временные, а главное — фи- нансовые ресурсы, которые можно распределить на другие важные задачи. Минимизация рисков и возможного ущерба. Выявление и устранение уязвимостей на всех этапах разработки сокращает веро- ятность ошибок и стоимость их исправления. Это снижает риски и величину возможно- го ущерба, повышает лояль- ность пользователей. Удобный инструмент для совместной работы. PT AI SSDL позволяет разработчи- кам создавать безопасное ПО, не будучи специалистами по безопасности, а службе информационной безопас- ности снизить потребность в большом штате «узких» специалистов и наладить продуктивную работу — не будучи экспертами в про- граммировании. Соответствие требова- ниям регулирующих организаций. Банк России, ФСТЭК и PCI Council требуют выявления уязвимостей со- гласно своим стандартам. PT AI SSDL помогает выполнять РС БР ИББС-2.6-2014, приказы ФСТЭК и требования PA DSS и PCI DSS, что особенно акту- ально при сертификации. PT Application Inspector SSDL Edition решает эти проблемы, а прозрачная интеграция в су- ществующие процессы разработки обеспечивает качественное тестирование кода на всех этапах жизненного цикла приложения. КАК РАБОТАЕТ PT APPLICATION INSPECTOR SSDL EDITION В основе PT AI SSDL лежит комплексный подход, сочетающий преимущества статического (SAST), динамического (DAST) и интерактивного анализа кода (IAST) и доказавший свою эф- фективность в PT AI Desktop Edition. Наличие различных технологий тестирования позволяет обеспечить безопасность приложения на всех этапах его жизни, от первых строк кода до ис- пользования в промышленной эксплуатации. Отличительная особенность PT AI SSDL — гибкая интеграция с IT-инфраструктурой организа- ции, инструментами разработки и безопасности. Настраиваемые под конкретный процесс па- нели управления и графические интерфейсы, специально спроектированные для отдельных пользовательских ролей, обеспечивают возможность быстро организовать процессы SSDL практически с нуля. При необходимости эксперты Positive Technologies всегда готовы оказать методологическую и практическую поддержку. Разработчик: Java, C#, PHP Аудитор ИБ: веб-консоль управления Руководитель: отчет
- 2. PT AI SSDL — КРАТКОЕ ОПИСАНИЕ ПРОДУКТА PT-AI-SSDL_PB_A4.RUS.0005.06.MAY.06.2016 ПРЕИМУЩЕСТВА ДЛЯ ИБ-ЭКСПЕРТОВ Широкий охват и глу- бина анализа. PT AI SSDL имеет встроенную базу уязвимостей ПО и сторон- них библиотек. А наличие механизмов проверки конфигурации позволяет убедиться, что веб-сервер настроен безопасно. Автоматическая провер- ка уязвимостей. PT AI SSDL автоматически генерирует эксплойты — максимально безопасные тестовые запро- сы для проверки найденных уязвимостей. Эксплойты помогают подтвердить нали- чие уязвимости, поставить задачу для исправления кода и проконтролировать результат. Непрерывная защита. Ряд крупных компаний уже используют PT Application Inspector совместно с межсетевым экраном уровня веб-приложений PT Application Firewall. Экс- плойты, которые генерирует PT AI, позволяют межсе- тевому экрану создавать виртуальные «заплатки» и защищать приложения на время исправления уязви- мостей. Упрощение приемки кода. PT AI SSDL подходит для экспресс-проверки стороннего или часто меняющегося кода. Это радикально снижает затраты: экспертам не нужно работать вручную. ПРЕИМУЩЕСТВА ДЛЯ РАЗРАБОТЧИКОВ В PT AI SSDL реализованы удобные API для встраивания в процесс разработки ПО. Лучший интерфейс — отсутствие интерфейса. Разработчики взаимодействуют с PT AI SSDL через отлаженные инструменты разработки и исходный код. Бесшовная интеграция с системами контроля версий позволяет автоматически отправлять на анализ готовый код и по- лучать результаты в привычных IDE и системах отслеживания ошибок. Возможна поддержка continuous integration и continuous delivery. Вам не придется изучать дополнительные консоли и отвлекаться на отчеты сторонних систем. Все обнаруженные проблемы и рекомендации по исправлению вы получите по месту их об- наружения — в виде аннотаций к исходному коду. pt@ptsecurity.com ptsecurity.ru О компании Positive Technologies Positive Technologies — лидер европейского рынка систем анализа защищенности и соответствия стан- дартам. Деятельность компании лицензирована Минобороны РФ, ФСБ и ФСТЭК, продукция сертифици- рована «Газпромом» и ФСТЭК. Более 3000 организаций из 30 стран мира используют решения Positive Technologies для оценки уровня безопасности своих сетей и приложений, для выполнения требований регулирующих организаций и блокирования атак в режиме реального времени. Благодаря многолет- ним исследованиям специалисты Positive Technologies заслужили репутацию экспертов международ- ного уровня в вопросах защиты SCADA- и ERP-систем, крупнейших банков и телекомов. В 2013 году компания заняла третье место на российском рынке ПО для безопасности и стала лидером по темпам роста на международном рынке систем управления уязвимостями. В 2015 году Gartner назвал Positive Technologies «визионером» в своем рейтинге Magic Quadrant for Web Application Firewalls. ДЛЯ СОВМЕСТНОЙ РАБОТЫ Ролевая модель доступа (RBAC). Каждая группа пользователей — разработчики, ру- ководители, аудиторы и администраторы — имеет собственный уровень доступа к дан- ным и к интерфейсу, с учетом роли каждого участника. Аналитика и business intelligence. С помощью PT AI SSDL аналитики могут проводить качественную и количественную оценку безопасности кода, выявлять тренды, проверять гипотезы, сравнивать данные нескольких проектов (бенчмаркинг), а руководители и ау- диторы — измерять KPI процесса разработки и контролировать эффективность. Гибкая система уведомлений и отчетности. Каждый участник процесса работает с адаптированными к его роли уведомлениями и отчетностью. Это возможно благодаря конструктору запросов, который формирует выборки данных по требованию, по рас- писанию или при наступлении определенного события, а отчеты выводятся на панель управления или отправляются по электронной почте. Независимость от производителя. PT AI SSDL адаптируется к нуждам и специфике конкретной организации или проекта, позволяя не обращаться каждый раз к произво- дителю. Новые релизы PT AI SSDL не затронут внесенных изменений и обеспечат преем- ственность. Microsoft Visual Studio IDE и аннотация с обнаруженной уязвимостью