# Veracode

### Что такое Veracode

Облачная платформа, которая предоставляет автоматизированные инструменты для сканирования исходного кода, бинарных файлов и веб-приложений. Цель понята: обнаружить потенциальные уязвимости и дать советы по их устранению.

### Основные компоненты

* Static Application Security Testing (SAST) — анализатор статического кода для обнаружения уязвимостей на этапе написания кода.
* Dynamic Application Security Testing (DAST) — средство для анализа работающих приложений и обнаружения проблем безопасности во время выполнения.
* Software Composition Analysis (SCA) — инструменты для обнаружения и управления уязвимостями в сторонних компонентах и библиотеках.
* Web Application Scanning — сканер веб-приложений для автоматического обнаружения уязвимостей и ошибок конфигурации.

### Возможности платформы

* Интеграция с инструментами разработки и инфраструктурой CI/CD для автоматизации процессов тестирования.
* Детальные отчеты и рекомендаций по устранению найденных проблем.
* Обучающие ресурсы и рекомендации по лучшим практикам и улучшению навыков разработчиков в области безопасности.

### &#x20;Минусы

* Дорого, сложно получить из РФ
* Возможные ложноположительные результаты, которые требуют дополнительной ручной проверки.
* Возможные ограничения на настройку сканирования, учитывая что это облачная платформа.
* Чтобы на 100% использовать возможность, нужно будет довольно долго разбираться в инструменты.

### Сфера применения&#x20;

* Процесс разработки ПО, где Veracode интегрируется с системами контроля версий для автоматического сканирования кода на каждом этапе разработки.
* Процесс проведения проверок безопасности перед деплоем новых версий приложений в продакшн.
* Диагностика и консалтинг в области безопасности, когда компаниям требуется экспертный анализ своих приложений или инфраструктуры.

Для работы с Veracode, разработчики и команды безопасности должны [зарегистрироваться](https://www.veracode.com/) на платформе, настроить свои проекты и начать процесс сканирования и обучения для улучшения безопасности своих приложений.