Positive Technologies представила PT Application Inspector Enterprise — новый продукт для создания безопасных приложений
Продукт в автоматическом режиме выявляет уязвимости, имея при этом все необходимые инструменты для их верификации специалистами. Кроме того, PT Application Inspector Enterprise предоставляет возможность трекинга уязвимостей и дает рекомендации по их исправлению. Все это позволяет с самого начала создавать защищенное приложение. Также в числе особенностей Enterprise-версии — легкость интеграции в процесс разработки, ролевая модель доступа, возможность командной работы над проектом без ограничения числа пользователей, удобный интерфейс, наличие информационной панели со статистикой. PT AI Enterprise является развитием PT Application Inspector — единственного российского анализатора кода, попавшего в магический квадрант Gartner 2018 года по тестированию безопасности приложений. PT AI помогает выпускать защищенные приложения компаниям и организациям по всему миру [1]. Как и предыдущие версии Application Inspector, новое решение использует технологию абстрактной интерпретации с целью повышения точности результатов анализа кода, что позволяет отфильтровывать ложные срабатывания и автоматически подтверждать возможность эксплуатации обнаруженных уязвимостей. Кроме того, PT AI Enterprise определяет лучшее место для одновременного исправления множества уязвимостей, способен сканировать как веб, так и мобильные приложения. «Учитывая, что каждая команда разработки и каждый продукт, который она создает, уникальны, важно, чтобы решение для создания безопасных приложений гибко встраивалось в их среду и бизнес-процессы. Это дает возможность не только повышать безопасность, но и быстрее доставлять продукт и его обновления конечному потребителю, — говорит Антон Александров, руководитель направления по развитию бизнеса продукта Application Inspector компании Positive Technologies. — PT Application Inspector Enterprise позволяет не только качественно выявлять уязвимости на любом этапе жизненного цикла продукта, но и дает рекомендации по проверке этих уязвимостей и наиболее качественному их устранению». В крупных компаниях приходится осуществлять параллельный аудит десятков веб-приложений подрядчиков или проверять значительное число одновременно разрабатываемых приложений. PT Application Inspector Enterprise позволяет масштабировать сканирование — чем больше сканирующих агентов, тем больше приложений могут одновременно анализироваться. Система дает возможность, в том числе, сканировать только измененный код, что позволяет освободить ресурсы для анализа других приложений. PT Application Inspector Enterprise поддерживает интеграцию с современными CI/CD-системами (непрерывной интеграции и доставки): Jenkins, TFS, TeamCity, Gitlab CI и другими, что позволяет автоматизировать процесс поиска уязвимостей на этапе сборки приложения. А интеграция с баг-трекинговыми системами (Jira, TFS и другие) дает возможность создавать задачи для разработчиков по исправлению уязвимостей. По статистике Positive Technologies, в 2018 году доля веб-приложений с критически опасными уязвимостями увеличилась до 67%. В настоящее время 75% векторов проникновения в корпоративную сеть связаны с недостатками защиты веб-приложений, что представляет реальную опасность для бизнеса и государственных организаций. Например, в 2018 году атакам с использованием уязвимостей веб-приложений подвергались интернет-магазин Newegg, авиакомпания British Airways, онлайновый продавец билетов Ticketmaster и другие крупные компании. [1] В числе российских заказчиков ― М.Видео, Банк «Санкт-Петербург», портал «Фабрикант», НПФ Сбербанка, Транспортная дирекции чемпионата мира по футболу.