Российская ASOC платформа CyberСodeReview

Начнем с самого начала – что же такое Quality Gate, Security Quality Gate, QG? По своей сути, Quality Gate – это набор критериев, по которым оценивается качество кода перед его развертыванием в рамках процесса непрерывной интеграции и доставки (т.н. CI\CD). Чем полезен Quality Gate? Он помогает командам разработки убедиться, что заданные стандарты качества кода соблюдаются, и в продакшн среду не попадает код, несоответствующий заданным уровням (в нашем случае речь, конечно, про объем уязвимостей)...

Продолжаем рубрику о неочевидных возможностях ASOC, которые могут улучшить пользовательский опыт. Почему неочевидных? Мало кто задумывается об этом за постоянным потоком модных нарративов об искусственном интеллекте, LLM и прочем. Знакома ситуация? В компании внедрили популярный сканер уязвимостей (зачастую отечественный). Но вместо того, чтобы продолжать триажить файндинги в вашем оптимизированном и настроенном ASOC-е, вы вручную анализируете отчеты этого инструмента, потому что ASOC просто не...

Продолжаем рубрику про неочевидные возможности ASOC, которые могут улучшить пользовательский опыт. Почему неочевидные? Мало кто об этом задумывается за постоянным потоком модного нарратива про AI, LLM и прочего. Вы когда-нибудь видели хорошие метрики и дашборды у коммерческих решений? Очень редко встречаются, можно по пальцам одной руки посчитать. Крайний пример - Mend/WhiteSource, который сейчас недоступен на российском рынке. Мы конечно не сравниваемся с зарубежными техногигантами, но метрики CyberCodeReview могут быть для вас полезными...

Как модна сегодня тема ASOC. И правда, всем давно стало понятно, что процессы AppSec начинают работать только тогда, когда есть возможность выстроить как можно больше этих процессов и собрать как можно больше данных о потенциальных проблемах безопасности в одном единственном и по возможности удобном инструменте, который на сегодняшний день называется ASOC. Предлагаем сперва затронуть тему самых базовых функций ASOC - нормализация и дедупликация результатов. Дедупликация по как можно большему количеству...

Покажем на примере и скринах, как может использоваться CyberCodeReview в каноническом виде, некоторый референс, на который мы опираемся и который является лучшей практикой на сегодняшний день в индустрии. Запрос 1 - у вас несколько сканеров и вы хотите систему, в которой вы бы могли объединить результаты сканирования для их дальнейшего анализа. При этом желательно иметь возможность дедупликации результатов между разными сканерами. Запрос 2 - вы только собираетесь внедрять какие-то сканеры для выполнения...

На связи команда ASOC-платформы CyberCodeReview. Application Security Orchestration and Correlation (ASOC) – не самая тривиальная тема в реалиях отечественного подхода к обеспечению ИБ, но от этого не менее важная, и, что главное – не менее интересная. В ходе работы над CyberCodeReview нам с командой пришлось прожить многие этапы внедрения ASOC, решить тысячу и одну проблему, дорабатывать фичи, устранять баги, и «допиливать» воркфлоу так, чтобы ASOC действительно работал, не только на бумаге, но и на практике...