SYNOPSYS SIG - INTEGRIDAD DEL SOFTWARE
COVERITY - PRUEBAS DE SOFTWARE DE APLICACIÓN ESTÁTICA
Coverity® es una solución de análisis estático (SAST) rápida, precisa y altamente escalable que ayuda a los equipos de desarrollo y seguridad a abordar los defectos de seguridad y calidad al principio del ciclo de vida del desarrollo de software ( SDLC ), rastrear y administrar los riesgos en toda la cartera de aplicaciones y garantizar Cumplimiento de los estándares de seguridad y codificación.
Con Coverity, puede realizar un seguimiento y administrar de manera integral el cumplimiento a través de una amplia gama de estándares de seguridad, calidad, protección de datos y seguridad. Filtre fácilmente los problemas identificados por categoría, vea informes de tendencias, priorice la reparación de vulnerabilidades en función de la criticidad y administre el cumplimiento de políticas en equipos y proyectos.
Coverity proporciona comprobadores de seguridad y calidad amplios para 22 idiomas, más de 70 marcos y formatos de archivo y plataformas de infraestructura como código de uso común.
BLACK DUCK - ANÁLISIS DE COMPOSICIÓN DE SOFTWARE
El análisis de composición de software (SCA) de Black Duck® ayuda a los equipos a administrar los riesgos de seguridad, calidad y cumplimiento de licencias que surgen del uso de código abierto y código de terceros en aplicaciones y contenedores.
Black Duck es el líder del mercado en soluciones de gobierno de código abierto. Este mercado se conoce como análisis de composición de software o SCA para abreviar. El modelo básico utilizado por todos los proveedores de SCA es escanear el código fuente en busca de pistas para identificar qué bibliotecas de código abierto podrían estar presentes. Este análisis crea una lista de materiales, o BoM, para el proyecto. Armado con una lista de materiales, entonces es posible identificar problemas de seguridad latentes dentro de cada elemento de esa lista de materiales.
pato negro detección multifactorial de código abierto y KnowledgeBase ™ de más de 4 millones de componentes le brinda una lista de materiales (BoM) precisa para cualquier aplicación o contenedor.
DEFENSICS - RED Y PROTOCOLO DE APLICACIÓN FUZZING
Fuzzing envía intencionalmente una entrada con formato incorrecto e identifica si el software que se está probando manejó esa entrada con formato incorrecto de manera adecuada sin volverse inestable o exponer una vulnerabilidad.
Defensics es un fuzzer de caja negra completo, versátil y automatizado que permite a las organizaciones descubrir y remediar de manera eficiente y efectiva debilidades de seguridad en software
Defensics es un fuzzer de caja negra: no requiere código fuente para ejecutarse.
Defensics funciona particularmente bien para entradas estructuradas, como protocolos de red y formatos de archivo, y todas las fuzzing siguen una secuencia conceptual de creación del caso de prueba, ejecución del caso de prueba y luego determinación de las fallas, si las hubo.
SEEKER - PRUEBAS DE SEGURIDAD DE APLICACIONES INTERACTIVAS
WEB SCANNER - PRUEBAS DE SEGURIDAD DE APLICACIONES DINÁMICAS
CODE SIGHT - PLUGIN IDE PARA SAST Y SCA
Seeker es la primera solución IAST de la industria con verificación activa y seguimiento de datos confidenciales para aplicaciones basadas en web.
Seeker es fácil de implementar y escalar en su CI/CD flujos de trabajo de desarrollo. Las integraciones nativas, las API web y los complementos brindan una integración perfecta con las herramientas que usa para el desarrollo local, basado en la nube, basado en microservicios y basado en contenedores. Obtendrá resultados precisos listos para usar, sin una configuración extensa, servicios personalizados o ajustes.
Seeker supervisa las interacciones de la aplicación web en segundo plano durante las pruebas normales y puede procesar rápidamente cientos de miles de solicitudes HTTP(S), lo que le brinda resultados en segundos con casi cero falsos positivos, sin necesidad de ejecutar escaneos de seguridad manuales.
Seeker le ahorra tiempo, recursos y costos valiosos al permitir que sus desarrolladores corrijan fallas de seguridad críticas al principio del SDLC . No solo puede reducir su riesgo al proteger las aplicaciones antes de que entren en producción, sino que también puede reducir significativamente sus requisitos de pruebas de penetración, como lo muestra Forrester Research.
Las pruebas de seguridad de aplicaciones dinámicas (DAST) son una herramienta esencial en cualquier caja de herramientas de AppSec. Synopsys Web Scanner™ facilita a los desarrolladores y equipos de seguridad probar las aplicaciones web en busca de vulnerabilidades conocidas y de día cero.
Utilizando las mismas técnicas que los piratas informáticos maliciosos, Synopsys Web Scanner prueba sistemáticamente todos los puntos de acceso de sus aplicaciones web a través de un navegador sin interfaz para interceptar y analizar las solicitudes de JavaScript y AJAX, incluso cuando se completan los formularios recién creados. Comprueba la Top 10 de OWASP riesgos de seguridad de aplicaciones web, así como otras debilidades y vulnerabilidades de seguridad conocidas, que brindan instrucciones paso a paso sobre cómo eliminar cualquier problema detectado.
Synopsys Web Scanner se actualiza constantemente, por lo que puede estar seguro de que está protegido contra las amenazas más recientes. Regularmente incorporamos nuevas pruebas, y Synopsys Web Scanner obtiene constantemente puntajes más altos que cualquier otro escáner en los puntos de referencia de código abierto.
Code Sight™ es un complemento IDE que lo ayuda a abordar los defectos de seguridad en tiempo real mientras codifica.
con rapidez y precisión pruebas de seguridad de aplicaciones estáticas (SAT) y análisis de composición de software (SCA) realizado en el escritorio, puede encontrar y corregir rápidamente vulnerabilidades en el código fuente, dependencias de código abierto, llamadas API e infraestructura como código (IaC) antes de comprometerse.
Code Sight detecta de forma rápida y precisa los defectos de seguridad en el código de la aplicación y los archivos de infraestructura como código a medida que los abre, edita y guarda, para que pueda concentrarse y corregir los errores de seguridad antes de registrarse.
Code Sight le brinda una visibilidad completa de los riesgos de seguridad tanto en forma directa como fuente abierta dependencias, para que pueda seleccionar los componentes y versiones más seguros para usar y evitar licencias incompatibles.
Cuando se encuentran problemas, Code Sight le muestra exactamente qué cambio de código o actualización de componente se necesita y, a menudo, puede solucionarlo automáticamente con solo un clic.