Компания Security Vision объявляет о запуске нового продукта — Security Vision ASOC, платформы управления безопасной разработкой, объединяющей все этапы SSDLC.
Продукт ASOC устраняет разрозненность инструментов и предоставляет целостное, управляемое представление о безопасности всей разработки, что позволяет ИТ-и InfoSec-командам принимать решения на основе объективных метрик, а не разрозненных отчётов.
Продукт включает пять ключевых модулей:
1. Дизайн и архитектура
На этапе дизайна и архитектуры платформа помогает выстроить взаимодействие компонентов, определить границы доверия и провести моделирование угроз — тем самым заложив фундамент для безопасной разработки. Система позволяет создавать архитектурные модели приложений, описывая компоненты и их взаимосвязи. Встроенные шаблоны ускоряют процесс и обеспечивают единообразие. Платформа поддерживает моделирование угроз по методологиям STRIDE, OWASP и LINDUNN, с привязкой угроз к конкретным компонентам системы:
• Моделирование угроз с автоматическим подбором сценариев по компонентам;
• Возможность задать потоки данных и границы доверия;
• Выявление рисков на ранних этапах;
• Постановка задач по митигации как в платформе, так и возможность настроить уведомления о новых задачах в удобное Вам ITSM-решение.
2. Контроль безопасности кода
На этапе контроля безопасности кода система осуществляет статический анализ, поиск секретов, проверка зависимостей и автоматическое формирование задач. Для каждого проекта также можно настроить политики code review (требования к проверкам безопасности перед слиянием кода), сборки (параметры безопасного CI/CD) и обработки задач (правила автоматического создания и приоритизации задач по устранению уязвимостей). Политики масштабируются на всю организацию, обеспечивая единые стандарты безопасности.
3. Инфраструктурный контроль
На данном этапе система автоматизирует запуск и контроль устранения проблем, выявленных по результатам следующих проверок:
• анализ контейнеров, образов и системных пакетов;
• DAST-сканирование веб-приложений (OWASP ZAP и др.);
• фаззинг-тестирование.
4. Безопасное развёртывание
В рамках этого этапа политики безопасности интегрируются в процессы CI/CD и не допускают выход продукта с критическими рисками. Система реализует функционал, который включает:
• политики безопасности для CI/CD;
• блокировки релиза при наличии критических уязвимостей;
• контроль сборок и поставочных артефактов.
5. Операционный мониторинг
На финальном этапе система осуществляет непрерывный мониторинг за объектами, включенными в процессы SSDLC. В состав коробочной поставки включена следующая функциональность:
• получение актуальных уязвимостей из VS/VM-платформ с автоматической привязкой к активам, что позволяет видеть, как эксплуатационные риски соотносятся с архитектурой, кодом и инфраструктурой;
• загрузка инцидентов из SOAR и других систем мониторинга, их классификация и связывание с проектами и сервисами для формирования полной картины безопасности.
Решение интегрируется с популярными инструментами разработки и анализа, включая PVS-Studio, Trivy, Semgrep, GitLab, GitHub, Azure DevOps, OWASP ZAP и другими, а также поддерживает собственную модель данных для этапов SSDLC.
Ключевые преимущества Security Vision ASOC:
• Единый продукт вместо десятков разрозненных инструментов.
• Полный контекст для каждой уязвимости: компонент, репозиторий, сервис, среда.
• Гибкая интеграция с отечественными и зарубежными DevOps- и SecOps-решениями, а также opensource-решениями.
• Реализация на платформе Security Vision 5 позволяет гибко настраивать любые дополнительные интеграции, вносить корректировки процессов, менять отображение на карточках и списков объектов, разрабатывать свои собственные отчеты и дашборды. Все это осуществляется в no-code конструкторах, входящих в состав платформы.
Также в продукте реализована удобная система мониторинга для контроля выполнения каждого этапа: дизайн и архитектура, контроль безопасности кода, инфраструктурный контроль, безопасное развёртывание и операционный мониторинг.
Единая панель аналитики отображает ключевые показатели: уровень угроз, количество уязвимостей, инцидентов, покрытие проекта сканированием, качество сборок и динамику рисков.
Это позволяет руководителям и техническим командам принимать решения на основе данных и видеть реальный прогресс процесса SSDLC, а также оценивать уровень зрелости по каждому этапу процесса.
В дорожной карте продукта:
• Поддержка Kubernetes-безопасности через SPC, анализ IaC и мобильных приложений.
• AI-категорирование уязвимостей для снижения нагрузки на AppSec-команды до 80–90%.
Доступность
Security Vision ASOC доступен корпоративным заказчикам уже сегодня. Дополнительные интеграции, поддержка мобильной безопасности, IaC-анализ и расширенное покрытие Kubernetes войдут в релизы 2025–2026 годов.
