Veracode
В этой статье про интегрированную платформу, которая предлагает комплексные услуги для обеспечения безопасности приложений в процессе их разработки и эксплуатации.
Что такое Veracode
Облачная платформа, которая предоставляет автоматизированные инструменты для сканирования исходного кода, бинарных файлов и веб-приложений. Цель понята: обнаружить потенциальные уязвимости и дать советы по их устранению.
Основные компоненты
Static Application Security Testing (SAST) — анализатор статического кода для обнаружения уязвимостей на этапе написания кода.
Dynamic Application Security Testing (DAST) — средство для анализа работающих приложений и обнаружения проблем безопасности во время выполнения.
Software Composition Analysis (SCA) — инструменты для обнаружения и управления уязвимостями в сторонних компонентах и библиотеках.
Web Application Scanning — сканер веб-приложений для автоматического обнаружения уязвимостей и ошибок конфигурации.
Возможности платформы
Интеграция с инструментами разработки и инфраструктурой CI/CD для автоматизации процессов тестирования.
Детальные отчеты и рекомендаций по устранению найденных проблем.
Обучающие ресурсы и рекомендации по лучшим практикам и улучшению навыков разработчиков в области безопасности.
Минусы
Дорого, сложно получить из РФ
Возможные ложноположительные результаты, которые требуют дополнительной ручной проверки.
Возможные ограничения на настройку сканирования, учитывая что это облачная платформа.
Чтобы на 100% использовать возможность, нужно будет довольно долго разбираться в инструменты.
Сфера применения
Процесс разработки ПО, где Veracode интегрируется с системами контроля версий для автоматического сканирования кода на каждом этапе разработки.
Процесс проведения проверок безопасности перед деплоем новых версий приложений в продакшн.
Диагностика и консалтинг в области безопасности, когда компаниям требуется экспертный анализ своих приложений или инфраструктуры.
Last updated