0
Связаться с нами
Нажимая кнопку «Отправить», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года № 152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
Обзор новых возможностей платформы Apsafe
Платформа Apsafe продолжает активно развиваться, чтобы сделать процессы безопасной разработки более автоматизированными и эффективными. В этом обзоре мы собрали ключевые обновления, выпущенные за последний год. Новые функции помогают глубже интегрировать безопасность в жизненный цикл разработки и повышают эффективность работы команд.
Ключевые нововведения
в платформе Apsafe
1. Бесшовная интеграция в CI/CD
Внедрена и непрерывно развивается базовая возможность платформы — быстрое и бесшовное встраивание в CI/CD-процессы. Интеграция не нарушает существующие процессы разработки и не замедляет выпуск релизов.
2. Сквозное отслеживание жизненного цикла уязвимостей
Реализовали систему полного контроля процесса исправления уязвимостей.
Теперь мы не просто находим и передаем уязвимость команде разработки пользователя Apsafe, но и полностью отслеживаем ее жизненный цикл до момента исправления.
Внедрена и непрерывно развивается базовая возможность платформы — быстрое и бесшовное встраивание в CI/CD-процессы. Интеграция не нарушает существующие процессы разработки и не замедляет выпуск релизов.
- Как это работает: для подключения достаточно добавить в используемый CI/CD-инструмент всего одну задачу, которая синхронизирует код с платформой Apsafe. После каждого коммита в feature-ветку изменения автоматически поступают на проверку. Анализ и верификация уязвимостей происходят параллельно основному процессу разработки.
- Результат: разработчики получают уже верифицированные и подтвержденные уязвимости, что позволяет сосредоточиться на устранении реальных проблем, вместо анализа ложных срабатываний. Такой подход снижает нагрузку на команды и помогает соблюдать установленные сроки разработки.
2. Сквозное отслеживание жизненного цикла уязвимостей
Реализовали систему полного контроля процесса исправления уязвимостей.
Теперь мы не просто находим и передаем уязвимость команде разработки пользователя Apsafe, но и полностью отслеживаем ее жизненный цикл до момента исправления.
- Как это работает: когда разработчик вносит правки, платформа автоматически создает новую проверку для этой уязвимости. Аналитик Apsafe вручную проверяет коммит, чтобы подтвердить, что проблема устранена корректно, а не просто пропала из отчета сканера.
- Результат: уязвимость получает статус «Fixed» только после экспертного подтверждения. Это гарантирует, что проблемы устраняются полностью, а не маскируются, и дает полную уверенность в том, что жизненный цикл инцидента безопасности завершен.
3. Гибкая система тегирования и аналитики по командам и приложениям
Для удобства ведения крупных проектов с разветвленной структурой команд мы добавили возможность группировки микросервисов.
- Как это работает: сервисы можно объединять в логические группы по принципу принадлежности к определенному приложению или команде разработки.
- Результат: руководители и специалисты ИБ смогут получать детальную аналитику по конкретному приложению, микросервису или команде — какие компоненты системы наиболее уязвимы, как идет процесс устранения проблем и т.д.
4. Сценарии для автоматизации рутинных операций
Чтобы еще больше сократить ручной труд и ускорить обработку результатов, мы внедрили механизм сценариев.- Как это работает: настраиваются правила для автоматического присвоения статуса уязвимостям. Например, можно автоматически закрывать срабатывания в тестовых директориях или для специфичных, ранее согласованных конфигураций.
- Результат: значительная экономия времени аналитиков на разборе заведомо ложных или нерелевантных срабатываний.
5. Умное объединение срабатываний
Чтобы избежать дублирование срабатываний от разных инструментов, мы разработали систему их автоматического объединения.
- Как это работает: если несколько статических анализаторов (SAST) находят одну и ту же уязвимость в коде, платформа объединяет их в одну уникальную карточку уязвимости.
- Результат: пользователь Apsafe получает одну исчерпывающую карточку вместо нескольких одинаковых, что снижает путаницу и повышает эффективность работы.
6. Расширенные интеграции с таск-трекерами
Мы продолжаем развивать интеграции с популярными системами управления задачами: Jira, Redmine, Youtrack и другими.
Мы продолжаем развивать интеграции с популярными системами управления задачами: Jira, Redmine, Youtrack и другими.
- Как это работает: все поля карточки уязвимости в Apsafe (описание, impact, рекомендации по исправлению) автоматически переносятся в карточку задачи в трекере пользователя Apsafe.
- Результат: разработчики работают с уязвимостями в привычной среде, не переключаясь между платформами.
Планы на ближайшее будущее
1. Внедрение механизма Security Gates
Автоматический контрольный пункт в CI/CD помогает убедиться, что все коммиты прошли проверку, а выявленные уязвимости — исправлены. Он блокирует запуск в продакшн техсборок, которые не отвечают требованиям безопасности, тем самым снижая риски и минимизируя человеческий фактор.
2. Автоматизированная генерация отчетов для регуляторов
Возможность одним кликом формировать отчеты по заданным критериям (временной период, уровень критичности уязвимостей) в требуемых форматах: PCI DSS, NIST 800-53, ОУД4 (ГОСТ 15408-3). Функция полезна при подготовке материалов для внутренних совещаний, а также для представления в регуляторные органы.
3. Двусторонняя синхронизация с таск-трекерами
Автоматическое обновление статусов уязвимостей в платформе Apsafe при изменении связанных задач в системах управления проектами (Jira, Redmine, Youtrack). Например, при переводе задачи в статус Fixed соответствующая уязвимость в Apsafe также будет отмечена как устраненная.
Автоматический контрольный пункт в CI/CD помогает убедиться, что все коммиты прошли проверку, а выявленные уязвимости — исправлены. Он блокирует запуск в продакшн техсборок, которые не отвечают требованиям безопасности, тем самым снижая риски и минимизируя человеческий фактор.
2. Автоматизированная генерация отчетов для регуляторов
Возможность одним кликом формировать отчеты по заданным критериям (временной период, уровень критичности уязвимостей) в требуемых форматах: PCI DSS, NIST 800-53, ОУД4 (ГОСТ 15408-3). Функция полезна при подготовке материалов для внутренних совещаний, а также для представления в регуляторные органы.
3. Двусторонняя синхронизация с таск-трекерами
Автоматическое обновление статусов уязвимостей в платформе Apsafe при изменении связанных задач в системах управления проектами (Jira, Redmine, Youtrack). Например, при переводе задачи в статус Fixed соответствующая уязвимость в Apsafe также будет отмечена как устраненная.
Apsafe непрерывно развивается: мы расширяем набор инструментов, внедряем новые подходы к анализу и добавляем возможности тонкой настройки под различные процессы разработки. Наша цель — сделать безопасность кодa не препятствием, а неотъемлемой и простой частью рабочего процесса, позволяя командам сосредоточиться на создании продукта.