Mô tả

Software Risk Manager (Trình quản lý rủi ro phần mềm) là giải pháp quản lý tình trạng bảo mật ứng dụng (ASPM) tại chỗ cho phép các nhóm phát triển và bảo mật đơn giản hóa các chương trình bảo mật ứng dụng của tổ chức để cải thiện mức rủi ro hiện tại.

Software Risk Manager tập hợp chính sách, điều phối kiểm tra, tương quan vấn đề và các công cụ kiểm tra bảo mật ứng dụng tĩnh (SAST) và phân tích thành phần phần mềm (SCA) tích hợp sẵn để tích hợp các hoạt động bảo mật một cách thông minh và nhất quán trong suốt vòng đời phát triển phần mềm (SDLC).

Với Software Risk Manager, các nhóm phát triển và bảo mật có thể đưa ra quyết định sáng suốt từ một nguồn thông tin đáng tin cậy duy nhất và cung cấp các ứng dụng linh hoạt trên quy mô lớn.

1. Xem hệ thống hồ sơ AppSec trung tâm

• Đưa tất cả các phát hiện trong quá trình kiểm tra thủ công và tự động vào một hệ thống hồ sơ theo dõi tất cả các hoạt động kiểm tra AppSec, dữ liệu bảo mật và chính sách, cung cấp khả năng hiển thị chi tiết về trạng thái bảo mật ứng dụng của bạn ở mọi giai đoạn của SDLC

• Tự động đối chiếu và loại bỏ kết quả trùng lặp từ các nguồn thử nghiệm khác nhau, mang lại trải nghiệm người dùng thống nhất và giúp xem và ưu tiên các vấn đề dễ dàng hơn

• Hỗ trợ hơn 135 công cụ kiểm tra bảo mật phổ biến nhất bao gồm SAST, SCA, kiểm tra bảo mật ứng dụng động, kiểm tra bảo mật ứng dụng tương tác, InfraSec và lập mô hình mối đe dọa cũng như kiểm tra cơ sở hạ tầng di động, vùng chứa và đám mây

• Tự động chọn các công cụ AppSec tốt nhất hiện có cho cơ sở mã của bạn

• Tự động khám phá các kho lưu trữ, ứng dụng SCM cũng như các nhà phát triển và người dùng bảo mật có liên quan thông qua việc tích hợp tự động cho SAST và SCA tích hợp sẵn

2. Tăng tốc quy trình phân loại, kiểm tra và khắc phục

• Tự động xác định và ưu tiên các vấn đề quan trọng dựa trên đánh giá rủi ro thống nhất

• Cung cấp trực tiếp các lỗ hổng có mức độ ưu tiên cao cho nhà phát triển, bao gồm các liên kết đến dòng mã chính xác thông qua đồng bộ hóa hai chiều với hệ thống theo dõi vấn đề

• Phát hiện nhanh chóng và chính xác các lỗ hổng trong mã nguồn và nguồn mở thông qua các công cụ SAST và SCA tích hợp sẵn, với các quy tắc đặt trước để đạt được quy trình kiểm tra bắt buộc với thiết lập tối thiểu

• Cung cấp hướng dẫn khắc phục phù hợp theo ngữ cảnh cho các nhà phát triển dựa trên ngôn ngữ, loại lỗ hổng và nguồn, đồng thời đề xuất các hành động khắc phục dựa trên xu hướng lịch sử

• Hiển thị các hoạt động bảo mật ở cấp chi nhánh, để các nhà phát triển có thể kiểm tra các bản sửa lỗi một cách hiệu quả và giảm tần suất dừng xây dựng

• Tổ chức quét tập trung để tìm các công cụ Synopsys (tích hợp hoặc độc lập) hoặc các công cụ của bên thứ ba

3. Tập trung hóa khả năng hiển thị và quản trị rủi ro

• Cung cấp cái nhìn 360 độ về tính điểm rủi ro, phát hiện và xu hướng hiệu suất chính cho tất cả các dự án và nguồn mã (được xây dựng tùy chỉnh, bên thứ ba và nguồn mở)

• Liên kết các phát hiện với các tiêu chuẩn tuân thủ quy định (bao gồm NIST, PCI, HIPAA, DISA, OWASP Top 10) và cung cấp báo cáo kiểm tra đối với các vi phạm nghiêm trọng

• Cung cấp cả quy trình làm việc dựa trên giao diện người dùng và API để tạo, thực thi và giám sát các chính sách bảo mật trên nội dung phần mềm

• Cho phép các nhóm bảo mật chỉ định ngưỡng rủi ro cho các loại sự cố, công cụ kiểm tra bảo mật ứng dụng mong muốn, SLA về thời gian khắc phục để khắc phục và thông báo bắt buộc cho các bên liên quan trong quá trình phát triển

Với sự minh bạch, hiệu quả và trách nhiệm giải trình đối với quy trình bảo mật ứng dụng (AppSec), Software Risk Manager cung cấp nền tảng cần thiết để tích hợp kiểm tra ở mọi giai đoạn của SDLC. Trình quản lý rủi ro phần mềm cung cấp các khả năng chính để kiểm tra quy mô, khắc phục và quản lý rủi ro với một số tính năng:

• Tích hợp với hơn 135 công cụ bảo mật — nhiều hơn bất kỳ công cụ ASPM nào trên thị trường hiện nay

• Quản lý chính sách trước và sau quét tập trung

• Công cụ kiểm tra tích hợp sẵn cho Synopsys SAST và SCA hàng đầu trong ngành

• Hỗ trợ hơn 20 tiêu chuẩn tuân thủ

• Các quy tắc tương quan có thể tùy chỉnh, mở rộng

• Tích hợp hai chiều với các công cụ dành cho nhà phát triển và theo dõi vấn đề phổ biến, bao gồm Jira, ServiceNow, Azure DevOps, GitLab, GitHub, Jenkins, TeamCity và Bamboo, cũng như các plugin IDE cho Visual Studio, Eclipse, Visual Studio Code và IntelliJ

• Hỗ trợ 16 công cụ kiểm tra nguồn mở tích hợp — công cụ chính xác được tự động đề xuất thông qua phát hiện ngôn ngữ

Tài liệu liên quan