Компания Security Vision представила ASOC — единую платформу управления безопасной разработкой

Компания Security Vision представила ASOC — единую платформу управления безопасной разработкой Компания Security Vision объявляет о запуске нового продукта — Security Vision ASOC, платформы управления безопасной разработкой, объединяющей все этапы SSDLC. Продукт ASOC устраняет разрозненность инструментов и предоставляет целостное, управляемое представление о безопасности всей разработки, что позволяет ИТ-и InfoSec-командам принимать решения на основе объективных метрик, а не разрозненных отчётов. Продукт включает пять ключевых модулей: 1. Дизайн и архитектура На этапе дизайна и архитектуры платформа помогает выстроить взаимодействие компонентов, определить границы доверия и провести моделирование угроз — тем самым заложив фундамент для безопасной разработки. Система позволяет создавать архитектурные модели приложений, описывая компоненты и их взаимосвязи. Встроенные шаблоны ускоряют процесс и обеспечивают единообразие. Платформа поддерживает моделирование угроз по методологиям STRIDE, OWASP и LINDUNN, с привязкой угроз к конкретным компонентам системы. - Моделирование угроз с автоматическим подбором сценариев по компонентам; - Возможность задать потоки данных и границы доверия; - Выявление рисков на ранних этапах. Постановка задач по митигации как в платформе, так и возможность настроить уведомления о новых задачах в удобное Вам ITSM-решение 2. Контроль безопасности кода На этапе контроля безопасности кода система осуществляет статический анализ, поиск секретов, проверка зависимостей и автоматическое формирование задач. Для каждого проекта также можно настроить политики code review (требования к проверкам безопасности перед слиянием кода), сборки (параметры безопасного CI/CD) и обработки задач (правила автоматического создания и приоритизации задач по устранению уязвимостей). Политики масштабируются на всю организацию, обеспечивая единые стандарты безопасности. 3. Инфраструктурный контроль На данном этапе система автоматизирует запуск и контроль устранения проблем, выявленных по результатам следующих проверок: - анализ контейнеров, образов и системных пакетов; - DAST-сканирование веб-приложений (OWASP ZAP и др.); - фаззинг-тестирование; 4. Безопасное развёртывание В рамках этого этапа политики безопасности интегрируются в процессы CI/CD и не допускают выход продукта с критическими рисками. Система реализует функционал, который включает: - политики безопасности для CI/CD; - блокировки релиза при наличии критических уязвимостей; - контроль сборок и поставочных артефактов; 5. Операционный мониторинг На финальном этапе система осуществляет непрерывный мониторинг за объектами, включенными в процессы SSDLC. В состав коробочной поставки включена следующая функциональность: - получение актуальных уязвимостей из VS/VM-платформ с автоматической привязкой к активам, что позволяет видеть, как эксплуатационные риски соотносятся с архитектурой, кодом и инфраструктурой; - загрузка инцидентов из SOAR и других систем мониторинга, их классификация и связывание с проектами и сервисами для формирования полной картины безопасности. Решение интегрируется с популярными инструментами разработки и анализа, включая PVS-Studio, Trivy, Semgrep, GitLab, GitHub, Azure DevOps, OWASP ZAP и другими, а также поддерживает собственную модель данных для этапов SSDLC. Ключевые преимущества Security Vision ASOC - Единый продукт вместо десятков разрозненных инструментов. - Полный контекст для каждой уязвимости: компонент, репозиторий, сервис, среда. - Гибкая интеграция с отечественными и зарубежными DevOps- и SecOps-решениями, а также opensource-решениями. - Реализация на платформе Security Vision 5 позволяет гибко настраивать любые дополнительные интеграции, вносить корректировки процессов, менять отображение на карточках и списков объектов, разрабатывать свои собственные отчеты и дашборды. Все это осуществляется в no-code конструкторах, входящих в состав платформы. Также в продукте реализована удобная система мониторинга для контроля выполнения каждого этапа: дизайн и архитектура, контроль безопасности кода, инфраструктурный контроль, безопасное развёртывание и операционный мониторинг. Единая панель аналитики отображает ключевые показатели: уровень угроз, количество уязвимостей, инцидентов, покрытие проекта сканированием, качество сборок и динамику рисков. Это позволяет руководителям и техническим командам принимать решения на основе данных и видеть реальный прогресс процесса SSDLC, а также оценивать уровень зрелости по каждому этапу процесса. В дорожной карте продукта: - Поддержка Kubernetes-безопасности через SPC, анализ IaC и мобильных приложений. - AI-категорирование уязвимостей для снижения нагрузки на AppSec-команды до 80–90%. Доступность Security Vision ASOC доступен корпоративным заказчикам уже сегодня. Дополнительные интеграции, поддержка мобильной безопасности, IaC-анализ и расширенное покрытие Kubernetes войдут в релизы 2025–2026 годов.