Ключевая особенность PT Application Inspector — точность результатов сканирования. Продукт сочетает четыре технологии: статический (SAST) с уникальной технологией абстрактной интерпретации, интерактивный (IAST), анализ сторонних компонентов (SCA), а также динамический анализ (DAST).
PT Application Inspector
AppSec-платформа для управления рисками безопасности приложений, процессами безопасной разработки и цепочек поставок ПО
01
Современные атаки начинаются не только с уязвимостей
02
Обзор продукта
PT Application Inspector позволяет специалистам по ИБ выявлять и подтверждать уязвимости и недокументированные возможности (например, закладки, оставленные в исходном коде), а разработчикам — сделать безопасность частью процесса разработки и тем самым повысить эффективность устранения уязвимостей на ранних этапах.
Первая точка для атаки злоумышленников на компанию — это веб-приложения.
В их коде всегда есть уязвимости — изъяны, которые не видны пользователю. Важно находить их раньше, чем это сделают атакующие, чтобы проникнуть в инфраструктуру компании и похитить деньги и ценные данные.
Анализируйте код, а не ложные срабатывания
Разработчики могут самостоятельно использовать PT Application Inspector и видеть, какие уязвимости нужно устранить в первую очередь, а не просто получать от специалистов по ИБ отчеты со списком срабатываний.
03
Ключевые возможности
Централизованный контроль безопасности приложений
Проверяет исходный код, зависимости, конфигурации, секреты и подозрительную логику в рамках одной платформы до того, как приложение попадет в продуктивную среду. Меньше интеграций и затрат на поддержку. Единая картина уязвимостей для всей команды
Выявление секретов в коде
Ищет пароли, токены, API-ключи и другие конфиденциальные данные в коде. Анализ потоков данных обеспечивает высокую достоверность результатов, которая недоступна при сигнатурном анализе. Предотвращает утечку учетных данных для доступа к системам, облачным сервисам и конфиденциальной информации, снижая риски компрометации инфраструктуры
Выявление признаков вредоносного кода — ML‑модель MOLOT
Использование ML‑компонента позволяет находить в коде подозрительную логику работы алгоритма, для выявления которой плохо применимы классические методы статического анализа. Это предотвращает преднамеренное внедрение вредоносного кода, способного нарушить безопасность приложения
Кастомизация продукта
PT Application Inspector можно настроить под индивидуальные задачи компании за счет разработки собственных правил поиска уязвимостей на встроенном языке DSL, использования шаблонов отчетов, а также обращений к открытому API
Сервис управления сканированиями
Управляет очередями сканирования, приоритетами и ресурсами агентов. Критически важные изменения проверяются быстрее и не ждут в общей очереди. Безопасность меньше влияет на сроки выпуска новых версий продукта
Поиск сторонних компонентов с условиями достижимости
PT Application Inspector не просто находит сторонние компоненты с известными уязвимостями, а проверяет, реально ли уязвимая функция вызывается в коде приложения. Это повышает точность срабатываний и сокращает время на триаж: команда работает только с теми недостатками, которые могут эксплуатировать злоумышленники
Уязвимости — это деньги
Устранять последствия после выхода приложения в продакшен дорого. Дешевле и проще анализировать код на стадии разработки.
04
PT Application Inspector 6.0. Что нового
Ключевой инструмент для создания полного цикла безопасной разработки
05
Сценарии использования
Обновленный веб-UI запускается в браузере на любой ОС
Использование плагинов IDE
Работа с проектами
Плагины, разработанные Positive Technologies
Скачайте бесплатные плагины для IDE, чтобы находить уязвимости как можно раньше.
06
Новости
PT Application Inspector 6.0: новые возможности обнаружения угроз и повышенная прозрачность
PT Application Inspector 6.0: новые возможности обнаружения угроз и повышенная прозрачность
МТС Банк усиливает безопасность цифровых сервисов с помощью PT Application Inspector
МТС Банк усиливает безопасность цифровых сервисов с помощью PT Application Inspector
PT Application Inspector 5.2: продвинутый анализ кода на уязвимости
PT Application Inspector 5.2: продвинутый анализ кода на уязвимости
PT Application Inspector 5.0: работать в команде стало удобнее
PT Application Inspector 5.0: работать в команде стало удобнее
В PT Application Inspector 4.7 теперь доступны все языки под Windows и Linux
В PT Application Inspector 4.7 теперь доступны все языки под Windows и Linux
В PT Application Inspector появилась поддержка интегрированных сред разработки
В PT Application Inspector появилась поддержка интегрированных сред разработки
Positive Technologies представила каталог расширений для своих продуктов
Positive Technologies представила каталог расширений для своих продуктов
07
Материалы
Общее
Список базовых языков
- Java
- Scala
- C#
- PHP
- JavaScript/TypeScript
- Python
- Go
- Ruby
- Kotlin
- Objective-C
- Swift
- SQL
- Solidity
08
Сопутствующие продукты
Условия приобретения
Права на использование Positive Technologies Application Inspector предоставляются на условиях правообладателя — АО «Позитив Текнолоджиз» по запросу. Контактная информация.
Positive Technologies Application Inspector
Внесено в Единый реестр российских программ для электронных вычислительных машин и баз данных «05» сентября 2016 года, регистрационный номер 1253, https://reestr.digital.gov.ru/reestr/302603/.
Остались вопросы?
Заполните форму и наши специалисты свяжутся с вами в ближайшее время