Вы говорите, про импортозамещение и объекты КИИ, а серверная часть вашего продукта до сих пор работает только операционных системах MS Windows. Когда-нибудь мы наверно дождёмся решения на Linux, с нетерпением ждём.
Наша основная цель: поиск уязвимостей и НДВ в наших продуктах и сторонних продуктах, которые мы используем в работе. Пользователи анализатора в первую очередь сотрудники ИБ с минимальным опытом разработки, а во вторую разработчики.
Мы используем довольно много различных open source решений и хотелось бы анализировать: Языки:
java;
groovy;
python;
php;
javascript;
pl/sql.
Минимум:
рекурсивно .jar файлы;
.class файлы;
структуру jsp страниц.
Критичные для нас моменты:
возможность анализа бинарных файлов (с использованием декомпиляции и деобфускации);
сравнение результатов сканирований и ретроспектива уязвимостей от версии к версии ПО с отображением сохранившихся, устранённых и новых уязвимостей;
ручное управление уровнем критичности уязвимостей;
рекомендации по настройке средств защиты (для веб-приложений), рекомендации по настройке WAF;
классификация уязвимостей по OWASP/PCI DSS/HIPAA/CWE;
наборы готовых правил сканирования с возможностью редактирования, создание своих пресетов из правил;
пополняемая база уязвимостей и НДВ;
интеграция с jira, git, gitlab, github, jenkins в идеале с Intellij IDEA и teamcity;
@SearchInform_team
Вы говорите, про импортозамещение и объекты КИИ, а серверная часть вашего продукта до сих пор работает только операционных системах MS Windows. Когда-нибудь мы наверно дождёмся решения на Linux, с нетерпением ждём.
@RyavПриветствую. Как минимум тут:https://geekboards.ru/page/showroom
@Paull, мы с коллегами дополним список и напишем обращение в саппорт. Спасибо.
@Paull Постарался описать кейс использования.
Наша основная цель: поиск уязвимостей и НДВ в наших продуктах и сторонних продуктах, которые мы используем в работе.
Пользователи анализатора в первую очередь сотрудники ИБ с минимальным опытом разработки, а во вторую разработчики.
Мы используем довольно много различных open source решений и хотелось бы анализировать:
Языки:
java;
groovy;
python;
php;
javascript;
pl/sql.
Минимум:
рекурсивно .jar файлы;
.class файлы;
структуру jsp страниц.
Критичные для нас моменты:
возможность анализа бинарных файлов (с использованием декомпиляции и деобфускации);
сравнение результатов сканирований и ретроспектива уязвимостей от версии к версии ПО с отображением сохранившихся, устранённых и новых уязвимостей;
ручное управление уровнем критичности уязвимостей;
рекомендации по настройке средств защиты (для веб-приложений), рекомендации по настройке WAF;
классификация уязвимостей по OWASP/PCI DSS/HIPAA/CWE;
наборы готовых правил сканирования с возможностью редактирования, создание своих пресетов из правил;
пополняемая база уязвимостей и НДВ;
интеграция с jira, git, gitlab, github, jenkins в идеале с Intellij IDEA и teamcity;
выгрузка результатов сканирования в json/csv/pdf.
@PaullСпасибо за интересные статьи. Подскажите, где-нибудь можно найти сравнение вашего анализатора с другими? Например с Solar appScreener?