SolidLab
Связаться
OST

SolidLab OST

Сервис предоставляет базу данных уязвимостей компонентов Open Source. Источники включают публичные базы, БДУ ФСТЭК и сведения из исходных репозиториев. Решение помогает выявлять уязвимые компоненты в рамках процесса Software Composition Analysis (SCA).

Сценарии использования

  • Выбор компонентов. Принятие обоснованных решений о применимости компонентов ПО на этапе разработки.
  • Сборка в CI/CD. Встраивание в конвейер для автоматического сканирования компонентов на уязвимости и проблемы лицензирования.
  • Прохождение Security Gate. Формальная проверка соответствия требованиям безопасности перед релизом.
  • Мониторинг в продуктивной среде. Оповещения о новых уязвимостях в компонентах уже выпущенных приложений.

Ключевые функциональные особенности

Интеграция с внешними источниками

Импорт сведений об уязвимостях из внешних источников: CVE, БДУ ФСТЭК, GitLab Advisory, GitHub Advisory, Google OSV и др.

Агрегирование и корреляция данных

При загрузке в БД данные нормализуются, очищаются от дубликатов, приводятся к общему формату; автоматически определяются имена пакетов и их версии.

Взаимодействие с сервисом

Доступ к данным об уязвимостях через REST API и интеграция с инструментами класса SCA.

Работа с репозиториями открытого кода

Поиск недавно изменённых репозиториев с открытым кодом и статический анализ загруженного кода на предмет уязвимостей и закладок.

Преимущества SolidLab OST

Повышение безопасности

Выявление и устранение уязвимостей в используемых компонентах снижает риски для критичных систем и данных.

Улучшение качества

Обнаружение проблем с компонентами (в том числе не связанных с безопасностью) повышает надёжность приложений.

Повышение эффективности процессов

Обоснованные и своевременные решения на разных этапах ЖЦ ПО сокращают задержки и затраты в разработке и эксплуатации.

Соответствие требованиям

Обеспечение соответствия нормативным требованиям ИБ и требованиям к лицензионной чистоте ПО.

Техническая поддержка и дополнительные сервисы сопровождения

  • Настройка средств анализа защищённости, разработка индивидуальных правил, снижение ложных срабатываний и определение уровней критичности.
  • Проверка выявленных недостатков и подготовка PoC-сценариев для демонстрации.
  • Консультации по архитектуре приложений и практикам защищённого кодирования; разработка нормативной документации.
  • Интеграция решения в инфраструктуру заказчика (самостоятельно или в составе платформы защищённой разработки).
  • Анализ срабатываний инструментов и рекомендации по устранению найденных недостатков.
  • Обучение специалистов заказчика практикам защищённой разработки.
  • Подготовка аналитических отчётов.