PT Application Inspector

Positive Technologies
PT Application Inspector — анализатор защищенности исходного кода приложений. Результатом работы PT AI является генерация эксплойтов, которые демонстрируют риски уязвимостей на практических примерах, что позволяет межсетевому экрану блокировать атаки до исправления кода, а разработчикам — ускорить исправление кода на самых ранних стадиях разработки.
Описание
Запрос цены
Серьезный бизнес в наши дни сложно представить без современного программного обеспечения. Однако с ростом количества программ растет и количество уязвимостей. В ходе исследований компании Positive Technologies выяснилось, что в 2014 году внешний нарушитель из интернета был способен получить доступ к узлам внутренней сети 87 % крупных компаний, хотя в 2011—2012 годах это было возможно лишь в 74 % систем. При этом большинство уязвимостей можно выявить задолго до атаки, а изучение исходного кода приложений позволяет обнаружить в 10 раз больше критически опасных уязвимостей, чем тестирование систем без анализа кода.
Последние нормативы регулирующих организаций, таких как Банк России, ФСТЭК и PCI Council, в области безопасности платежных приложений, государственных информационных систем и систем персональных данных требуют выявления и устранения уязвимостей. Решение этих задач в организациях, использующих сотни копий различного ПО, невозможно без автоматизации. Однако предлагавшиеся до сих пор решения имеют ряд недостатков:
  • Инструменты статического анализа показывают не конкретные проблемы безопасности, а ошибки программирования, что приводит к огромному количеству ложных срабатываний и дополнительным трудозатратам на проверку.
  • Ряд уязвимостей невозможно определить методом статического анализа кода (SAST), поскольку эти уязвимости проявляются только во время исполнения программ.
  • Метод динамического анализа (DAST) требует развертывания систем, что в случае масштабных корпоративных приложений ведет к дополнительным расходам. Этим методом нельзя выявить уязвимости на этапе разработки, зато можно привести к сбою уже работающее приложение. DAST требует очень много времени на тесты, но при этом покрывает лишь 30 % кода.
PT Application Inspector