Công ty Synopsys (Hoa Kỳ) với hơn 30 năm xây dựng và phát triển, chuyên cung cấp các giải pháp kiểm tra chất lượng và bảo mật phần mềm của Synopsys hàng đầu trong lĩnh vực bảo mật ứng dụng đầu cuối. Hiện nay Synopsys cũng chính là đơn vị tiên phong về giải pháp kiểm tra bảo mật tĩnh và phân tích thành phần ứng dụng.
Với mục tiêu giúp phân tích ứng dụng một cách toàn diện với các công cụ linh hoạt phù hợp trong từng giai đoạn của quy trình phát triển phần mềm. Sysnopsys đã nghiên cứu và phát triển những sản phẩm – giải pháp sau:
- Coverity – Giải pháp phân tích mã nguồn:
Tính năng nổi bật:
- Hai thuật toán phân tích, tìm kiếm lỗi CHẤT LƯỢNG và BẢO MẬT hoạt động đồng thời.
- Phân tích hàng trăm triệu dòng mã một cách chính xác, dễ dàng, nhanh chóng; hỗ trợ hàng ngàn lập trình viên tiết kiệm thời gian phát triển phần mềm.
- Công nghệ phân tích đã được cấp bằng sáng chế giúp cung cấp một kết quả phân tích với độ chính xác rất cao, cho phép nhà phát triển nâng cao chất lượng và khả năng bảo mật một cách hiệu quả ngay trong quá trình phát triển.
- Nền tảng mở, dễ dàng tích hợp với các môi trường phát triển tích hợp, các hệ thống tích hợp liên tục, hệ thống quản lý chuỗi và các hệ thống theo dõi lỗi phần mềm.
Thông số kỹ thuật nổi bật
- Hỗ trợ hầu hết các ngôn ngữ lập trình: C/C++, C#, Java, Objective C, .Net, PHP, Python, Scala, Ruby on Rail…
- Tích hợp các tiêu chuẩn bảo mật : CWE Top 25, OWASP Top10
- Tuân thủ các tiêu chuẩn chất lượng : ISO 26262, FDA, PCI, MISRA, JSF++…
- Tích hợp với các nền tảng phát triển (IDEs: VS, eclipse, Android Studio..) các công cụ quản lý mã nguồn (SCM: Github, CVS, AccuRev, Apache Subversion…)
- Black Duck – Giải pháp kiểm tra mã nguồn mở:
Tính năng nổi bật :
-
Cung cấp đầy đủ thông tin về các thành phần mã nguồn mở sử dụng trong ứng dụng, bao gồm thông tin về phiên bản, lỗ hổng đã được công bố trên NVD, các vi phạm về giấy phép.
- Thống kê chi tiết các quyền truy cập của ứng dụng, những lỗ hổng an ninh như : khóa riêng tư chưa được mã hóa, các địa chỉ URL và Ip Address mà phần mềm định tuyến dữ liệu đi qua…
- Khám phá chuyên sâu, giúp phát hiện tất cả các thành phần mã nguồn mở, bao gồm cả các thành phần đã được chỉnh sửa.
- Bao gồm cả ứng dụng kiểm tra hộp đen (Protecode SC Binary Analysis) và kiểm tra hộp trắng (Black Duck Hub).
- Hoạt động dựa trên cơ sở dữ liệu toàn diện về mã nguồn mở với hơn 10,500 dữ liệu mã nguồn, hơn 115,000 lỗ hổng an ninh mã nguồn mở đã biết và hơn 2,500 kiểu giấy phép phần mềm.
Thông số kỹ thuật:
- Protecode SC Binary Analysis
– Hỗ trợ tất cả các loại software binary và firmware: bao gồm ứng dụng dành cho máy tính để bàn và thiết bị di động, phần mềm hệ thống nhúng…
– Quét và phân tích file binary trong vòng vài phút mà không cần yêu cầu mã nguồn.
– Tự động nhận cảnh báo cho các lỗ hổng mới được phát hiện trong phần mềm đã quét trước đó.
– Có cả phiên bản chạy trên đám mây và phiên bản chạy trên local server.
- Black Duck Hub
– Hỗ trợ hầu hết các ngôn ngữ lập trình: C/C++, C#, Java, Objective C, .Net, PHP, Python, Scala, Ruby on Rail…
– Tích hợp với các nền tảng phát triển : Eclipse, Visual Studio IDE
– Các nền tảng tích hợp liên tục: Jenkins, Bamboo, TeamCity, Travis CI…
- Defensics – Giải pháp kiểm tra hộp đen:
Tính năng nổi bật:
- Một giải pháp kiểm tra đề kháng toàn diện với bộ máy được lập trình, bao gồm hơn 250 giao thức, các bộ thử nghiệm được cấu hình sẵn, giúp giảm thiểu thời gian kiểm tra.
- Phù hợp với mọi tiêu chuẩn phát triển phần mềm.
- Báo cáo chi tiết, dữ liệu đầy đủ giúp việc khắc phục lỗ hổng trở nên dễ dàng.
- Dễ dàng thiết lập quá trình kiểm tra tự động
4. Code Dx – Giải pháp chẩn đoán rủi ro phần mềm
Code Dx® là một giải pháp tương quan lỗ hổng ứng dụng Application Vulnerability Correlation (AVC) tổng hợp dữ liệu AppSec và cung cấp thông tin chi tiết hữu ích. Giải pháp hỗ trợ tích hợp với hơn 100 công cụ kiểm tra bảo mật ứng dụng Application Security Testing (AST), Code Dx có thể tổng hợp hàng nghìn phát hiện từ các công cụ AST khác nhau như DAST, SAST, SCA, Pentest và Manual Test và loại bỏ các kết quả trùng lặp dư thừa, sau đó chuẩn hóa dữ liệu này và cung cấp báo cáo theo mức độ mức độ rủi ro. |
Code Dx cung cấp:
- Hệ thống bản ghi tập trung của các quy trình AppSec
- Khả năng hiển thị rủi ro
- Tự động ưu tiên các rủi ro
5. WhiteHat – Giải pháp bảo mật ứng dụng động phần mềm
WhiteHat DAST là một giải pháp kiểm tra bảo mật ứng dụng động (DAST) phần mềm dưới dạng dịch vụ (SaaS ) cho phép doanh nghiệp của bạn nhanh chóng triển khai một chương trình bảo mật web có thể mở rộng. Bất kể bạn có bao nhiêu trang web hay tần suất cập nhật thường xuyên, WhiteHat DAST có thể mở rộng quy mô để đáp ứng bất kỳ nhu cầu nào. Nó cung cấp cho các nhóm bảo mật và phát triển các đánh giá lỗ hổng nhanh chóng và liên tục của các ứng dụng trong QA và sản xuất, áp dụng các kỹ thuật tương tự mà tin tặc sử dụng để tìm lỗ hổng, vì vậy bạn có thể khắc phục trước khi kẻ xấu khai thác. |
WhiteHat DAST là một giải pháp dựa trên đám mây không yêu cầu cài đặt phần cứng hoặc phần mềm quét. WhiteHat Dast đem lại:
- Khả nánh giá không giới hạn, liên tục và đồng thời
- Tự động phát hiện và phân tích các thay đổi code trong các ứng dụng web
- Tích hợp API với các giải pháp quản lý sự kiện, hệ thống theo dõi lỗi và tường lửa
ứng dụng web
WhiteHat DAST phù hợp với mọi môi trường và có khả năng mở rộng cao, với khả năng đánh giá hàng nghìn trang web cùng một lúc. Hơn nữa, tất cả các lỗ hổng đều được xác minh lại bởi các chuyên gia bảo mật của Synopsys, hầu như loại bỏ tất cả các kết quả dương tính giả.
6. Seeker – Giải pháp kiểm thử bảo mật ứng dụng tương tác
Seeker®, giải pháp kiểm tra bảo mật ứng dụng tương tác (IAST) cung cấp khả năng hiển thị tuyệt vời về tính bảo mật ứng dụng web của bạn và xác định xu hướng lỗ hổng bảo mật theo các tiêu chuẩn tuân thủ (ví dụ: OWASP Top 10, PCI DSS, GDPR, CAPEC và CWE / SANS Top 25 ). Seeker cho phép các nhóm bảo mật xác định và theo dõi dữ liệu nhạy cảm để đảm bảo rằng dữ liệu đó được xử lý an toàn và không được lưu trữ trong các tệp nhật ký hoặc cơ sở dữ liệu có mã hóa yếu hoặc không. Tích hợp liền mạch của Seeker vào quy trình công việc DevOps CI/CD cho phép kiểm tra và xác minh bảo mật ứng dụng liên tục.. |
Các lợi ích:
- Cả nhóm bảo mật và phát triển đều thấy năng suất được cải thiện đáng kể.
- Chi phí tổng thể thấp hơn / ít tài nguyên hơn được yêu cầu để kiểm tra bảo mật ứng dụng
động (DAST) hoặc kiểm tra thủ công.
Để nhận được tư vấn chi tiết về các giải pháp và sản phẩm của Synopsys Quý khách vui lòng liên hệ tới ASIC Technologies – Đại diện chính thức duy nhất của Synopsys Việt Nam qua số điện thoại: (+84) 24 3748 1504 hoặc email: sales@asic.vn.
Trân Trọng!