SYNOPSYS SIG - INTÉGRITÉ DU LOGICIEL
COVERITY - TEST STATIQUE DES LOGICIELS D'APPLICATION
Coverity® est une solution d'analyse statique (SAST) rapide, précise et hautement évolutive qui aide les équipes de développement et de sécurité à résoudre les défauts de sécurité et de qualité au début du cycle de vie du développement logiciel ( SDLC ), à suivre et à gérer les risques dans l'ensemble du portefeuille d'applications et à garantir respect des normes de sécurité et de codage.
Avec Coverity, vous pouvez suivre et gérer de manière exhaustive la conformité grâce à un large éventail de normes de sécurité, de qualité, de protection des données et de sécurité. Filtrez facilement les problèmes identifiés par catégorie, affichez les rapports sur les tendances, hiérarchisez la correction des vulnérabilités en fonction de leur criticité et gérez la conformité aux politiques entre les équipes et les projets.
Coverity fournit de vastes vérificateurs de sécurité et de qualité pour 22 langues, plus de 70 frameworks et des plates-formes d'infrastructure en tant que code et des formats de fichiers couramment utilisés.
BLACK DUCK - ANALYSE DE LA COMPOSITION LOGICIELLE
L'analyse de la composition logicielle (SCA) de Black Duck® aide les équipes à gérer les risques de sécurité, de qualité et de conformité des licences qui découlent de l'utilisation de code open source et tiers dans les applications et les conteneurs.
Black Duck est le leader du marché des solutions de gouvernance open source. Ce marché est connu sous le nom de Software Composition Analysis ou SCA en abrégé. Le modèle de base utilisé par tous les fournisseurs SCA consiste à analyser le code source à la recherche d'indices pour identifier les bibliothèques open source qui pourraient être présentes. Cette analyse crée une nomenclature, ou BoM, pour le projet. Armé d'une nomenclature, il devient alors possible d'identifier les problèmes de sécurité latents au sein de chaque élément de cette BoM.
Le canard noir détection open source multifactorielle et La base de connaissances ™ de plus de 4 millions de composants vous donne une nomenclature précise pour n'importe quelle application ou conteneur.
DEFENSICS - FUZZING DES PROTOCOLES APPLICATIFS & RÉSEAUX
Le fuzzing soumet intentionnellement une entrée malformée et identifie si le logiciel testé a géré cette entrée malformée de manière appropriée sans devenir instable ou exposer une vulnérabilité.
Defensics est un fuzzer de boîte noire complet, polyvalent et automatisé qui permet aux organisations de découvrir et de corriger efficacement et efficacement faiblesses de sécurité dans le logiciel.
Defensics est un fuzzer de boîte noire - il ne nécessite pas de code source pour s'exécuter.
Defensics fonctionne particulièrement bien pour les entrées structurées telles que les protocoles réseau et les formats de fichiers, et tout le fuzzing suit une séquence conceptuelle de création du cas de test, d'exécution du cas de test, puis de détermination des échecs - le cas échéant - qui se sont produits.
SEEKER - TEST INTERACTIF DE SÉCURITÉ DES APPLICATIONS
WEB SCANNER - TEST DE SÉCURITÉ DYNAMIQUE DES APPLICATIONS
CODE SIGHT - PLUGIN IDE POUR SAST ET SCA
Seeker est la première solution IAST du secteur avec vérification active et suivi des données sensibles pour les applications Web.
Seeker est facile à déployer et à faire évoluer dans votre IC/CD workflows de développement. Les intégrations natives, les API Web et les plugins offrent une intégration transparente avec les outils que vous utilisez pour le développement sur site, basé sur le cloud, basé sur des microservices et basé sur des conteneurs. Vous obtiendrez des résultats précis prêts à l'emploi, sans configuration approfondie, services personnalisés ou réglage.
Seeker surveille les interactions des applications Web en arrière-plan pendant les tests normaux et peut traiter rapidement des centaines de milliers de requêtes HTTP(S), vous donnant des résultats en quelques secondes avec des faux positifs proches de zéro - pas besoin d'exécuter des analyses de sécurité manuelles.
Seeker vous fait gagner un temps précieux, des ressources et des coûts en permettant à vos développeurs de corriger les failles de sécurité critiques au début de la SDLC . Non seulement vous pouvez réduire vos risques en sécurisant les applications avant qu'elles ne soient mises en production, mais vous pouvez également réduire considérablement vos exigences en matière de tests d'intrusion, comme l'a montré Forrester Research.
Le test dynamique de sécurité des applications (DAST) est un outil essentiel dans toute boîte à outils AppSec. Synopsys Web Scanner™ permet aux développeurs et aux équipes de sécurité de tester facilement les applications Web pour détecter les vulnérabilités connues et zero-day.
Utilisant les mêmes techniques que les pirates malveillants, Synopsys Web Scanner teste systématiquement tous les points d'accès de vos applications Web via un navigateur sans tête pour intercepter et analyser les requêtes JavaScript et AJAX, même lorsque les formulaires nouvellement créés sont remplis. Il vérifie la Top 10 de l'OWASP les risques de sécurité des applications Web ainsi que d'autres faiblesses et vulnérabilités de sécurité connues, fournissant des instructions étape par étape sur la façon d'éliminer les problèmes détectés.
Synopsys Web Scanner est constamment mis à jour, vous pouvez donc être assuré que vous êtes protégé contre les dernières menaces. Nous incorporons régulièrement de nouveaux tests et Synopsys Web Scanner obtient systématiquement des scores plus élevés que tout autre scanner sur les benchmarks open source.
Code Sight™ est un plug-in IDE qui vous aide à résoudre les défauts de sécurité en temps réel pendant que vous codez.
Avec rapide et précis test de sécurité des applications statiques (SAST) et logiciel d'analyse de composition (SCA) effectuée sur le poste de travail, vous pouvez rapidement trouver et corriger les vulnérabilités dans le code source, les dépendances open source, les appels d'API et l'infrastructure en tant que code (IaC) avant de vous engager.
Code Sight détecte rapidement et avec précision les défauts de sécurité dans le code d'application et les fichiers d'infrastructure en tant que code lorsque vous les ouvrez, les modifiez et les enregistrez, afin que vous puissiez rester concentré et corriger les bogues de sécurité avant de vous enregistrer.
Code Sight vous donne une visibilité complète sur les risques de sécurité à la fois directs et Open source dépendances, afin que vous puissiez sélectionner les composants et les versions les plus sécurisés à utiliser et éviter les licences incompatibles.
Lorsque des problèmes sont détectés, Code Sight vous montre exactement quel changement de code ou quelle mise à niveau de composant est nécessaire, et il peut souvent effectuer le correctif automatiquement pour vous en un seul clic.