RedPipe - это многофункциональное, автоматизированное решение для поиска уязвимостей в программном коде на различных этапах разработки, тестирования и эксплуатации.

RedPipe
Symbiote
Ecosystem
  • Ruby (Gems)
  • Java (JAR, WAR, EAR, JPI, HPI)
  • JavaScript (NPM, Yarn)
  • Python (Egg, Wheel, Poetry, requirements.txt/setup.py files)
  • .NET (deps.json)
  • Golang (go.mod)
  • PHP (Composer)
  • Rust (Cargo)
  • Go (Binaries built by Go)
  • Node.js
и сканирования образов docker (в формате OCI и Singularity).
Решение предназначено для анализа программного кода:
О продукте
готовый набор инструментов внутри одного решения, обеспечивающий весь цикл безопасной разработки (SSDLC)
Поиск различной чувствительной информации, который ведется в достаточно большом количестве источников и форматов, например: код, файлы и ресурсы приложения. Для поиска алгоритмы цепи Маркова и методы на основе вычислений энтропии Шеннона.
Найти все, что скрыто
Search for Secrets
Например, если проект зависит от библиотеки с открытым исходным кодом, то крайне важно учитывать лицензию, по которой эта библиотека распространяется. Нарушение условий использования может повлечь за собой огромный ущерб бизнесу. Другой возможной проблемой является наличие уязвимостей в используемой библиотеке.
Анализ зависимостей
SCA
Динамический анализ
DAST
(Dynamic Application Security Testing) - тестирование «черного ящика», может обнаруживать уязвимости и слабые места в работающем приложении, обычно веб-приложениях. Это достигается за счет использования методов внедрения ошибок в приложении, таких как передача вредоносных данных в программное обеспечение, для выявления распространенных уязвимостей безопасности, например, SQL-инъекций и межсайтовых сценариев.
(Static Application Security Testing) - тестирование «белого ящика». Позволяет разработчикам находить уязвимости безопасности в исходном коде приложения на ранних этапах жизненного цикла разработки ПО. SAST также обеспечивает соответствие руководствам и стандартам кодирования без фактического выполнения базового кода.
Статический анализ
SAST
Модуль сканирования позволяет выполнить проверки собранных образов docker и выявить уязвимость еще до момента его запуска на продуктивном кластере и узле. Использование упреждающего подхода позволяет избежать реальных проблем при эксплуатации.
Проверка образов docker
Image Screening
Данный модуль позволят настроить проверки и поведение при обнаружении замечания для каждого из этапов цикла безопасной разработки, автоматизировать создание заявок на устранение. Модуль построения отчетов позволяет собирать гибкие и информативные отчеты. Формировать дельта и кумулятивные отчеты.
Конструктор процессов и отчетов
Workflow & Report
Преимущества
Полный цикл SSDLC
Гибкость и простота
Интеграция с Вашей экосистемой
Все как в испытательной лаборатории
Настройте свой сценарий проверок
Легко встраивается в экосистему
Не нужно строить полный цикл SSDLC с нуля, система предоставляет его «из коробки», просто подключите к ней ваши репозитории кода и настройте бизнес-процесс и поведение для каждого из этапов цикла, и Ваша испытательная лаборатория готова. Срок внедрения может уложиться в 1 месяц.
Наше решение позволяет настроить различные профили проверок и комбинации инструментов для разных этапов цикла SSDLC. Если допуск кода с уязвимостями в продуктив не допустим, настройте остановку цикла, система сама дождется исправления и продолжит тестирование. Если нужно выпустить релиз любой ценой, но при этом правильно переложить ответственность, настройте сценарии согласования и фиксации артефактов.
Наше решение позволяет обращаться к стороннему ПО и запускать его по сценарию на разных этапах цикла SSDCL. Например, запустить сканер уязвимостей после сборки приложения. Это позволяет существенно расширить возможности системы и сделать ваши приложения еще более защищенными. Данный функционал реализуется через API.
Автоматизация операций
Создание и отслеживание задач
Если у Вас есть тикет-система, в которой ведется учет задач на разработку, то система позволит автоматизировать данные рутинные операции. Операции по созданию, отслеживанию и контролю задач на исправление найденных ошибок будут управляться системой также будет выполняться автоматическое закрытие задач после проверки исправления. Это существенно сокращает трудозатраты и высвобождает ресурсы на разработку.
23.03.2023

Права на использование ПО предоставляются на условиях правообладателя – ООО “Альфа Системс” по запросу. Стоимость ПО рассчитывается на основании заполненного опросного листа и зависит от выбранных функциональных блоков.

Контакты, по которым можно связаться для
получения опросного листа и определения стоимости:
Условия приобретения
ALPHA SYSTEMS
Или вы можете оставить свои контактные данные, что бы мы могли с вами связаться