PT Application Inspector

PT Application Inspector — инструмент для выявления уязвимостей в приложениях с использованием статического (SAST), динамического (DAST) и интерактивного (IAST) методов анализа, комбинация которых позволяет добиться синергетического эффекта.

С помощью модуля динамического анализа можно провести автоматическую проверку тестовых запросов, тем самым сократив трудозатраты экспертов на ручную верификацию.

В рамках статического анализа помимо данных о типе уязвимости и её координат в коде, Application Inspector генерирует эксплойты — безопасные и эффективные тестовые запросы, которые помогают подтвердить или опровергнуть её.

Возможности PT Application Inspector

Больше всего времени у ваших специалистов уходит на работу с отчетом о найденных уязвимостях, поэтому важно, чтобы результаты анализа кода, окружения и работающего приложения были максимально точными и понятными. PT AI — единственный анализатор исходного кода на рынке, предоставляющий удобные инструменты для автоматического подтверждения уязвимостей, что существенно экономит трудозатраты и облегчает взаимодействие специалистов по ИБ с разработчиками.

1. Защита приложений любого масштаба.

PT Application Inspector обнаруживает все основные типы уязвимостей веб-приложений (SQLi, XSS, XXE и т. п.). Вы можете использовать его для защиты любых приложений — от лендингов до корпоративных порталов, облачных сервисов и систем электронного правительства.

2. Автоматическая проверка уязвимостей.

PT Application Inspector генерирует эксплойты — максимально безопасные тестовые запросы для проверки найденных уязвимостей. Эксплойты помогают подтвердить наличие уязвимости, поставить задачу для исправления кода и проконтролировать результат.

3. Сокращение трудозатрат.

За счет комбинации статических, динамических и интерактивных методов проверки кода (SAST и DAST), PT Application Inspector находит только реальные уязвимости. Это помогает разработчикам сконцентрироваться на важных проблемах и снижает затраты экспертов на ручную проверку результатов.

4. Минимизация рисков и возможного ущерба.

Выявление и устранение уязвимостей на всех этапах разработки сокращает вероятность ошибок в готовом ПО и стоимость их исправления. Это снижает риски и величину возможного ущерба, повышает лояльность пользователей.

5. Поддержка SSDL.

Интеграция версии PT Application Inspector Enterprise Edition в цикл разработки позволяет сократить расходы и повысить эффективность безопасной разработки и тестирования.

Соответствие требованиям регулирующих организаций таких, как Банк России, ФСТЭК и PCI Council требуют выявления уязвимостей согласно своим стандартам. PT AI помогает выполнять РС БР ИББС-2.6-2014, приказы ФСТЭК и требования PA DSS и PCI DSS, что особенно актуально при сертификации.

Преимущества PT Application Inspector

Безопасность приложений возможна только при активном участии всех членов команды. PT AI — универсальное средство, позволяющее создать культуру безопасной разработки, «подружить» всех участников — QA, разработчиков, безопасников, DevOps-специалистов и руководителей — и вооружить их удобными инструментами, которые не будут отвлекать от прямых обязанностей и позволят эффективно общаться на одном языке.

• Простота использования.

PT Application Inspector не требует погружения в исходный код и процесс его разработки. Он позволяет получать понятные результаты и визуализацию уязвимостей без дополнительных настроек.

• Широкий охват и глубина анализа.

PT ApplicationInspector имеет встроенную базу уязвимостей ПО и сторонних библиотек. А наличие механизмов проверки конфигурации позволяют убедиться, что веб-сервер настроен безопасно.

• Непрерывная защита.

Результаты анализа PT Application Inspector могут быть загружены в межсетевой экран уровня веб-приложений PT Application Firewall для блокировки обнаруженных уязвимостей. Механизм называется virtual patching и сокращает риски, пока идет исправление кода.