Чтобы обеспечить точную степень риска, Security Reviewer Suite сопоставляет результаты со своими многочисленными анализаторами (SAST, DAST, Software Composition Analysis и Firmware Analysis). Это обеспечивает точную картину безопасности вашего приложения и гарантирует, что разработка сначала будет решать наиболее важные проблемы.

Security Reviewer определяет основную причину проблемы, а не только симптом, предоставляя данные уровня кода более чем для 1100 правил проверки для более 40 языков программирования, соответствующих лучшим международным стандартам, таким как OWASP 2021, Mobile OWASP 2016, CWE, PCI-DSS 3.2, WASC и более.

Мы не предлагаем консультационные услуги напрямую клиентам. Остерегайтесь ложных экспертов по безопасности обозревателя. Чтобы обеспечить успех проекта, мы предлагаем программу сертификации, обязательную для каждой консультационной фирмы, использующей наши продукты в консультационном проекте на площадке Заказчика.

bug_report

Инспекция приложений

Он позволяет выявлять уязвимости в исходном коде и библиотеках. Static Reviewer руководствуется самым большим и полным набором правил безопасного кодирования и поддерживает широкий спектр языков, платформ, среды сборки и интегрированных сред разработки (IDE). Соответствует: OWASP, CWE, CVE, CVSS, MISRA, CERT.

remove_red_eye

Динамический анализ

Dynamic Reviewer - это гибридное решение. Вы можете проверить свое веб-приложение во время работы в течение жизненного цикла разработки. Его специальные функции PenTest позволяют исследовать уязвимости в ваших веб-приложениях.

widgets

Анализ прошивки

Firmware Reviewer обеспечивает углубленный анализ прошивки (двоичные файлы, файловые системы, контейнеры, виртуальные машины, IoT, UEFI, устройства, сетевые устройства, интеллектуальные счетчики, устройства наблюдения, дроны и т. Д.), Позволяя одновременно исследовать уязвимости и программное обеспечение надежно в ваших руках, на вашем предприятии.

smartphone

Mobile

Mobile Reviewer построен на модели программного обеспечения как услуга (SaaS), позволяя предприятиям получать оценки безопасности своих мобильных приложений по требованию. Мобильный рецензент освобождает предприятия от необходимости тратить ресурсы на покупку программного обеспечения или мобильных имитаторов мобильных устройств, нанимая экспертов по безопасности программного обеспечения и консультантов для его работы и постоянного обслуживания для обеспечения эффективности. С помощью Mobile Reviewer предприятия просто отправляют приложения через онлайн-платформу и быстро возвращают результаты тестирования.

low_priority

Забыть о ложных позитивах

Наш Rule Engine с его внутренним многопоточным оптимизированным конечным автоматом на основе Dynamic Syntax Tree, является самым быстрым на рынке. Для работы не требуется никаких внутренних или внешних СУБД, и она полностью расширяется через XML. Его уникальная возможность реконструировать планируемое расслоение делает его бесценным инструментом для обнаружения архитектуры уязвимости, которая была введена в исходный код, с очень редкими случаями False Positivies.

settings

Ничего не осталось

Поддерживаемые языки программирования: C#, Vb.NET, VB6, ASP, ASPX, JAVA, JSP, JavaScript, TypeScript, eScript, Java Server Faces, APEX, Ruby, Python, R, GO, Kotlin, Groovy, Flex, ActionScript, PowerShell, LUA, HTML5, XML, XPath, JSON, C, C++, PHP, SCALA, Rust, IBM Streams SPL, Objective-C, Objective-C++, SWIFT, COBOL, JCL, RPG, PL/I, ABAP, SAP-HANA, UiPath, BPMN, BPEL, SAIL, PL/SQL, T/SQL, Teradata SQL, SAS-SQL, ANSI SQL, IBM DB2, IBM Informix, MySQL, FireBird, PostGreSQL, SQLite, MongoDB.

exposure

Оцените свои усилия

Предоставляются полностью настраиваемые функциональные точки OMG и функциональные возможности NESMA FPA (ISO 24570: 2018), а также современный алгоритм калибровки программного обеспечения под названием Average Programmer Profile Weights (APPW © 2009 by Logical Solutions), преемник твердых научных методов предков как COCOMO, REVIC, COSMIC-FFP и Backfired Function Points, которые также предоставляются с использованием методологии Motorola © six-Sigma, QSM © и Capers Jones (SRM).

network_check

Все, что вам нужно - это качество

Безопасность программного обеспечения + Качество программного обеспечения = целостность программного обеспечения. Quality Reviewer оценивает регрессии и понимает изменения в исходном коде с помощью автоматизированной визуализации программных показателей (сложность SW, размер и структура Metrics, Halstead Metrics, Chidamber & Kemerer, Mood, QMood, когнитивные показатели), а также функции оценки эффективности и отчетности.

call_made

Панель инструментов SQALE

Security Reviewer является официальным инструментом SQALE. SQALE - это методология для отчетности о безопасности, качестве, мертвом коде и лучших практиках, а также о техническом долге в уникальной информационной панели. Технический долг - это расчетный человеко-время, которое потребуется для устранения проблем. Правила и формулы могут быть созданы и настроены для лучшего соответствия потребностям и привычкам ваших команд. В настоящее время техническая долговая метафора широко используется в индустрии программного обеспечения, стандартизированной по ISO 9126 и ISO 25010.

autorenew

Непрерывная интеграция

Security Reviewer обеспечивает бесшовную двунаправленную интеграцию с существующими инструментами жизненного цикла, чтобы сделать Статический анализ естественной частью процесса SDLC, включая ведущие на рынке IDE, управление исходным кодом (SCM), покрытие кода, отслеживание ошибок, сборку и непрерывную интеграцию и приложение Lifecycle Management (ALM). Поверхность и устранение дефектов внутриEclipse, Visual Studio или IBM Rational Team Concert IDE.

developer_board

Гибкая модель развертывания

Security Reviewer понимает, что для получения признания в ИТ-организациях корпоративного класса модели развертывания должны соответствовать официальным политикам. Модель внешнего сервера иногда вызывает сопротивление, а также устаревшие настольные приложения. В ответ на такие проблемы Security Reviewer имеет «гибридную» стратегию развертывания, которая превращает Security Reviewer в гибкий набор инструментов, который может соответствовать любой корпоративной модели развертывания. У вас есть REST API ed., Continuous Integration ed., Server ed., Developer ed., Desktop ed. и SR Connect. Последний гибридный. SR Connect построен на основе набора сервисов в соответствии с сервис-ориентированной архитектурой Концепция и позволяет размещать различные пользовательские пространства Security Reviewer независимо друг от друга и поддерживать очень масштабные развертывания. Ваш исходный код никогда не покинет ваш рабочий стол. Отчетность основана на шифровании AES-256 через безопасный канал

library_books

Анализ состава программного обеспечения

Security Reviewer SCA анализирует все зависимости вашего приложения от сторонних библиотек и обнаруживает: устаревшие библиотеки, Blacklisted Library, уязвимые библиотеки (OWASP A09 - избегайте использования известных уязвимых компонентов), нарушения лицензии, лицензии Blacklisted, лицензионные конфликты, SPDX спецификации материалов и т. д. и публиковать результаты на вашем портале OWASP Dependency Tracking portal или непосредственно внутри Jenkins, CodeBees, Azure DevOps, Concourse-ci or Atlassian Bamboo. Он поддерживает более широкий список языков программирования на рынке.

dashboard

Контейнерная безопасность

Контейнеры становятся стандартной формой , в которой приложения упакованы и выполняются, поэтому необходимо защищать не только само приложение , но весь контейнер от уязвимостей с открытым исходным кодом растет. Благодаря уникальным разработчиком первого подхода, наше решение будет интегрироваться с различными вопросами разработки и исполнения платформ по всему СДЛК - обеспечение глубокого анализа контейнера, Автоматизированная уязвимость рекультивация, благодаря нашим ведущей базе данных уязвимостей. Поддержка: Docker, Kubernetes, OpenShift, MesoSphere/D2IQ, Rancher, Quay, Singularity, Pivotal CF и любой контейнер совместимый со спецификациями APPC. Разработчики могут сделать непрерывное обнаружение уязвимости и реабилитацию в трубопроводе DevOps путем развертывания наших плагин для CI / CD инструментов, или через REST API.