Первая точка для атаки злоумышленников на компанию — это веб-приложения. В их коде всегда есть уязвимости — изъяны, которые не видны пользователю. Важно находить их раньше, чем это сделают атакующие, чтобы проникнуть в инфраструктуру компании и похитить деньги и ценные данные.
Устранять последствия после выхода приложения в продакшен дорого. Дешевле и проще анализировать код на стадии разработки.
Ключевая особенность PT Application Inspector — точность результатов сканирования. Продукт сочетает четыре технологии: статический (SAST) с уникальной технологией абстрактной интерпретации, интерактивный (IAST), анализ сторонних компонентов (SCA), а также динамический анализ (DAST).
PT Application Inspector позволяет специалистам по ИБ выявлять и подтверждать уязвимости и недокументированные возможности (например, закладки, оставленные в исходном коде), а разработчикам — сделать безопасность частью процесса разработки и тем самым повысить эффективность устранения уязвимостей на ранних этапах.
Разработчики могут самостоятельно использовать PT Application Inspector и видеть, какие уязвимости нужно устранить в первую очередь, а не просто получать от специалистов по ИБ отчеты со списком срабатываний.
Атаки на веб-приложения — один из наиболее популярных методов кибератак. Злоумышленники могут использовать скомпрометированные сайты в различных целях: для распространения вредоносного ПО, кражи конфиденциальных данных, несанкционированного внедрения информации, для мошенничества или проникновения во внутреннюю инфраструктуру компании.
Читать подробнее
Скачайте бесплатные плагины для IDE, чтобы находить уязвимости как можно раньше.
JetBrains Marketplace Visual Studio Code Marketplace
«Ввиду специфики отрасли мы тщательно подходим к процессу обеспечения безопасности финансов и конфиденциальной информации наших клиентов, которые пользуются нашими приложениями в повседневной жизни. Для анализа защищенности приложений мы использовали PT Application Inspector, так как этот продукт имеет передовые механизмы, способные обеспечить высокую точность и полноту обнаружения уязвимостей. В результате работы с PT Application Inspector мы убедились в его надежности: количество ложных срабатываний было минимальным, а понятное представление результатов и подробные рекомендации по устранению уязвимостей помогли повысить уровень безопасности наших онлайн-сервисов. Рекомендуем PT Application Inspector всем, кто хочет иметь надежный и удобный инструмент для анализа защищенности приложений».
«Разработанные приложения, не прошедшие проверку с помощью статического анализатора кода, потенциально создают возможности для злоумышленника реализовать атаки, направленные на критически важные ресурсы. Устранение уязвимостей на этапе разработки существенно повышает уровень защиты приложений. Применение качественных анализаторов кода — хорошая и необходимая на сегодняшний день практика обеспечения безопасности информации, создающая дополнительный рубеж противодействия атакам злоумышленников».
«Нам нужно было проверить защищенность пяти систем, предназначенных, среди прочего, для работы с персональными данными и денежными операциями. По итогам проверки в PT Application Inspector мы получили подробный отчет с описанием уязвимостей, информацией об уровне их опасности и способах устранения. Этот отчет и помощь экспертов Positive Technologies в интерпретации и анализе результатов сканирования позволили нам точно определить уровень защищенности ПО и принять меры для устранения обнаруженных рисков. Рекомендуем PT Application Inspector и надеемся на дальнейшее плодотворное сотрудничество с Positive Technologies».
«Занимая лидирующие позиции в своем сегменте, „Связной“ продолжает развивать собственную платформу онлайн-продаж. Ввиду работы с финансовыми транзакциями и персональными данными пользователей вопросы информационной безопасности при разработке и использовании таких систем являются приоритетными. Чтобы исключить потенциальные риски для нашей компании и наших клиентов, нам важно обеспечивать высокий уровень безопасности веб-приложений. Для анализа их защищенности мы использовали PT Application Inspector, который зарекомендовал себя как профессиональное решение для обнаружения уязвимостей в вопросах обеспечения безопасности наших онлайн-систем».
«В условиях непрерывного роста сложности веб-угроз анализ кода веб-приложений становится неотъемлемой частью процессов, связанных с обеспечением безопасности критически важной информации. В ведении ГП „Инфоком“ находится ряд информационных ресурсов, оперирующих, среди прочего, персональными данными граждан. Применение PT Application Inspector в качестве инструмента анализа кода оказало незаменимую помощь в решении задачи повышения общего уровня безопасности веб-приложений».
«Ак Барс Цифровые Технологии уделяет особое внимание информационной безопасности выпускаемых решений. Наши разработчики активно интересуются вопросами безопасной разработки с целью создания более качественного и надежного программного обеспечения. Мы привлекли к обучению сотрудников компании ведущих специалистов Positive Technologies, которые заслужили репутацию экспертов международного уровня в вопросах информационной безопасности. Уверены, что знания, полученные на курсах, будут с пользой применяться сотрудниками и повысят культуру безопасной разработки».
Служба информационной безопасности банка «Санкт-Петербург» ежеквартально проводит анализ исходного кода разрабатываемых веб-приложений систем ДБО с использованием PT Application Inspector:«Мы предъявляем высокие требования к разработке ДБО — к качеству кода, скорости выявления и исправления уязвимостей, — так как для нас важно, чтобы все обновления ДБО были надежными и вовремя доходили до наших клиентов. Для проведения регулярного анализа защищенности мы обратились к экспертам Positive Technologies, которые имеют достоверный опыт в вопросах безопасности банковских систем».
Непрерывная безопасность для непрерывной поставки: портал «Фабрикант» автоматизировал приемку кода с помощью PT Application Inspector:«Интеграция PT Application Inspector и PT Application Firewall в production-окружение позволила нам минимизировать влияние процессов ИБ на скорость разработки новой функциональности и обеспечить защиту портала от современных киберугроз».
«Вопросам информационной безопасности должно уделяться основное внимание при разработке банковских информационных систем. Причем забота о безопасности этих решений начинается с самого раннего этапа их производства, уже с первых строк кода. И мы рады, что решения Positive Technologies помогают нам в борьбе за безопасность наших клиентов».
Лаборатория сертификации МОУ ИИФ использует PT Application Inspector для выявления уязвимостей исходного кода при анализе НДВ:«Наши специалисты искали отечественный инструмент для обнаружения уязвимостей в исходном коде, но с принципиально новыми технологиями, которые, в отличие от простого поиска по шаблонам, позволяют вычислять уязвимости, уникальные для сертифицируемого средства защиты. Именно таким инструментом оказался продукт компании Positive Technologies».
Внесено в Единый реестр российских программ для электронных вычислительных машин и баз данных «05» сентября 2016 года, регистрационный номер 1253, https://reestr.digital.gov.ru/reestr/302603/.
«В современном мире вопросы обеспечения безопасности информации стоят очень остро, особенно в случаях, когда онлайн-технологии сильно интегрированы в бизнес организаций. В этой связи анализ кода приложений, разрабатываемых для онлайн-сервисов, становится неотъемлемой частью грамотного подхода к построению качественных и безопасных программных продуктов. Выбор в пользу PT Application Inspector был сделан исходя из его функциональных возможностей, которые позволили эффективно решить задачу безопасной разработки программных продуктов компании».