Разработчик платформы для анализа безопасности исходного кода SASTAV, компания ShiftLeft Security, сообщает о заключении стратегического альянса с поставщиками управляемых сервисов информационной безопасности (MSSP), в числе которых системный интегратор УЦСБ. Как рассказали представители ITD Group изданию CNews, это сотрудничество открывает новые возможности для клиентов.
Теперь заказчики могут воспользоваться экспертной моделью анализа кода, предоставляемой по принципу «как сервис». Это позволяет передать задачу проверки уязвимостей внешним специалистам высокой квалификации, что ускоряет устранение рисков и уменьшает общую стоимость владения системами безопасной разработки.
Данная сервисная модель направлена на решение главной проблемы отрасли — значительного количества ложноположительных срабатываний («шума») при применении традиционных SAST-инструментов. В отличие от сканирования на стороне клиента, модель MSSP SASTAV предусматривает полный цикл верификации срабатываний. Исходный код загружается в защищенную среду платформы, где последовательно проходит автоматизированный поиск небезопасных шаблонов, анализ зависимостей и конфигураций, а затем — обязательную ручную проверку экспертами. В итоге заказчик получает не поток необработанных технических предупреждений, а список подтвержденных уязвимостей с четкой расстановкой приоритетов, описанием влияния на бизнес и конкретными рекомендациями по устранению.
«Включение SASTAV в портфели услуг MSSP — важный этап на пути к созданию стандарта доверия в сфере безопасной разработки в России. Мы гордимся, что наш продукт, который изначально разрабатывался для высоконагруженных систем и работы с графами зависимостей, теперь предлагается в виде регулярного сервиса. Это дает компаниям любого размера возможность быстро получать независимую оценку рисков, не тратя ценные ресурсы службы информационной безопасности на первичный анализ срабатываний», — прокомментировала Ксения Калемберг, управляющий партнер ShiftLeft Security.
Для корпоративных клиентов главными преимуществами становятся экономическая выгода и высокая скорость обработки. Платформа SASTAV способна анализировать различные типы кода, включая backend-сервисы, frontend-приложения, API-контуры и инфраструктурные манифесты, соотнося находки с архитектурой и бизнес-логикой конкретного приложения. Внедрение сервисной модели сокращает время между обнаружением и исправлением проблемы благодаря четкому ранжированию: критические уязвимости оцениваются по вероятности эксплуатации, а разработчики получают точные технические рекомендации, исключающие работу с несущественными угрозами. Кроме того, в рамках подписки или разового контракта предусмотрена возможность повторной проверки (retest) для подтверждения устранения рисков.
Данная услуга предлагается как в виде одноразового аудита (перед выпуском релизов, прохождением сертификации или внешними проверками), так и в формате регулярного обслуживания с заранее установленной периодичностью. Четкие рамки работ, используемый стек технологий и объем анализируемого кода прописываются в техническом задании, что обеспечивает ясность и соблюдение требований контролирующих органов. При сотрудничестве с MSSP-провайдерами заказчики полностью закрывают потребность в безопасной разработке, уменьшая зависимость от собственных ресурсов ИБ и усиливая технологическую независимость проектов.