AppSec.Track обеспечивает:
Анализ Open Source компонентов на наличие уязвимостей, вредоносного и нежелательного содержимого.
Защиту от вредоносных компонентов, библиотек с protestware, опубликованных после 24/02/2022.
Блокировку загрузки компонентов внутри контура разработки при нарушении политик (OSA). Поставляется как коннектор к локальным репозиториям артефактов и обновляемая база знаний в облаке.
Остановку работы пайплайнов сборки и доставки приложений при нарушении политик (SCA). В модуль SCA входят мониторинг (историй и отчетов) и модуль расширенной настройки политик.
Сканирование OSS-компонентов приложений на этапах Build и Deploy.
Отправку уведомлений при обнаружении новых уязвимостей в приложениях на prod-среде.
AppSec.Track работает с ключевыми менеджерами артефактов: Nexus Repository, JFrog Artifactory, Gitlab CI, Teamcity, Jenkins.
Модуль OSA (Open Source Analysis)
Проверка компонентов с открытым исходным кодом на этапе загрузки в контур безопасной разработки. При нарушении политик разработчик получает сообщение об ошибке с описанием проблемы и рекомендациями по выбору безопасной версии.
Модуль SCA (Software Composition Analysis)
Проверка компонентов с открытым исходным кодом в рамках пайплайнов сборки и доставки приложения. При нарушении политик происходит блокировка пайплайна, а также отправка уведомлений командам разработки и безопасности.
-
Поддерживает пакетные менеджеры
maven, gradle, sbt, pip, Conda, NPM, Bower, NuGet, go sum, go mod, CocoaPods, Composer, Gem, cargo.
Работает с файлами манифестов
pom.xml, build.gradle, package.json, go.sum и пр., файлами артефактов (.jar, .war, .whl, .tar и т. д.), сканирует образы Docker, файлы SBOM (CycloneDX).