Что такое Veracode?

Veracode — это комплексная облачная платформа для обеспечения безопасности приложений. Она разработана, чтобы помочь организациям защитить свое программное обеспечение путем бесшовной интеграции тестирования безопасности в жизненный цикл разработки (DevSecOps). Платформа предоставляет несколько методов анализа, включая статический анализ (SAST), динамический анализ (DAST), анализ состава программного обеспечения (SCA) и интерактивное тестирование безопасности приложений (IAST), для выявления и устранения уязвимостей в собственном коде, библиотеках с открытым исходным кодом и работающих приложениях.

Ключевые особенности

• Статический анализ (SAST): Сканирует неработающий код для обнаружения недостатков безопасности и уязвимостей на ранних этапах процесса разработки.
• Динамический анализ (DAST): Тестирует работающие веб-приложения и API на наличие уязвимостей, имитируя внешние атаки.
• Анализ состава программного обеспечения (SCA): Идентифицирует компоненты с открытым исходным кодом в вашей кодовой базе, помечает известные уязвимости и помогает управлять лицензионными рисками.
• Единая платформа: Объединяет несколько типов тестирования безопасности в единую платформу с централизованными политиками, отчетностью и управлением уязвимостями.
• Расширение возможностей разработчиков: Предоставляет интеграции с IDE, сканирование в конвейерах CI/CD и обучение для разработчиков, чтобы они могли писать безопасный код с самого начала.
• Отчетность о соответствии: Генерирует подробные отчеты для соответствия нормативным и отраслевым стандартам, таким как PCI DSS, GDPR и OWASP Top 10.

Сценарии использования

• Интеграция DevSecOps: Автоматизируйте тестирование безопасности в конвейерах CI/CD для поиска и исправления уязвимостей без замедления разработки.
• Управление уязвимостями: Получите централизованное представление о состоянии безопасности всех приложений для приоритизации и эффективного управления усилиями по их устранению.
• Управление рисками открытого исходного кода: Обнаруживайте и управляйте уязвимостями и проблемами лицензирования в сторонних библиотеках, используемых в ваших проектах.
• Соответствие нормативным требованиям: Убедитесь, что приложения соответствуют требованиям безопасности различных отраслевых и государственных норм.
• Защита веб-приложений и API: Защититесь от распространенных веб-атак, выявляя уязвимости в производственных или предпроизводственных средах.

Начало работы

Распространенный способ использования Veracode — запуск сканирования конвейера из командной строки или инструмента CI/CD. Это позволяет быстро получать обратную связь о небольших изменениях в коде.

Сначала загрузите JAR-файл Veracode Pipeline Scan с платформы Veracode. Затем вы можете запустить сканирование с помощью следующей команды:

```bash

Убедитесь, что у вас установлена Java

Установите ваши учетные данные API Veracode в качестве переменных окружения

export VERACODE_API_KEY_ID=”ВАШ_API_ID” export VERACODE_API_KEY_SECRET=”ВАШ_API_SECRET”

Запустите сканирование вашего файла приложения (например, WAR, JAR или ZIP)

java -jar pipeline-scan.jar –file ваше_приложение.war –project_name “МоеВебПриложение”

Эта команда загружает файл приложения на платформу Veracode, выполняет статическое сканирование и предоставляет немедленную обратную связь о любых критических недостатках прямо в вашем терминале.

Цены

Veracode работает по модели Платная/Подписка. Цены настраиваются в зависимости от количества приложений, требуемых типов сканирования и размера команды разработчиков. Потенциальным клиентам обычно необходимо связаться с отделом продаж для получения индивидуального предложения или демонстрации.