Какие проблемы решает Wave?
Схема работы Appsec.Wave
Правила сканирования
Интеграции и плагины
Архитектура решения
Сравнительный анализ
Сценарии взаимодействия и интеграции
Результаты сканирования: триаж
Результаты сканирования: отчет
2.63M
Похожие презентации:
Инструменты разработчика
Инструменты разработчика
Java School #18 Opening
Java School #18 Opening
Повседневная работа с Jenkins
Повседневная работа с Jenkins
Quality Gates для разработчиков
Quality Gates для разработчиков
Devops. Термин DevOps
Devops. Термин DevOps
Jump to Line
Jump to Line
Роли в команд. Что делает backend-разработчик?
Роли в команд. Что делает backend-разработчик?
Мониторинг контейнеров. Лекция 3. Программно-аппаратные средства защиты информации
Мониторинг контейнеров. Лекция 3. Программно-аппаратные средства защиты информации
Инструменты для создания, исполнения и управления информационной системой
Инструменты для создания, исполнения и управления информационной системой
Платформа. Решения. Команды. Clearway Integration
Платформа. Решения. Команды. Clearway Integration

AppSec.Wave_v5

1.

AppSec.Wave
Находите, фиксируйте и предотвращайте
уязвимости в коде быстро и качественно
inbox@appsec.global

2. Какие проблемы решает Wave?

1
2
Выявление уязвимостей на этапе разработки.
Обнаружение потенциальных уязвимостей ещё на этапе разработки,
предотвращая их попадание в финальную версию продукта.
Быстрое сканирование.
Скорость сканирования – важный атрибут анализатора, который
позволяет оперативно реагировать на «срочные» задачи не жертвуя
приоритетами разработки
3
Гибкая работа с правилами сканирования.
Wave позволяет выборочно отключать предустановленные правила и
дополнять списки пользовательскими правилами
4
5
Обеспечение стабильности CI/CD-процессов.
Быстрое получение обратных связей о качестве кода помогает
эффективно организовать Continuous Integration и Delivery.
Импортозамещение ПО. Wave помогает соблюдать требования
законодательства и стандарты безопасности.
Почему
AppSec.Wave
Скорость
Кастомные правила
Гибкость
Старт сканирования
за 20 минут
Развертывание и
поставка в докеробразах

3. Схема работы Appsec.Wave

AppSec.Wave подключается к Git-репозиториям, либо
получает файлы из zip-архива/локального хранилища
файлов,
Немного статистики:
> 12 000
проводит сканирование,
правил для популярных языков
4 минуты
отдает результаты сканирования с указанием:
критичности, типа, указанием на строку в коде и пр.
Система дает возможность:
встроиться в пайплайн разработки за счет простой интеграции
в CI/CD
интегрироваться с системами контроля версий семейства GIT
на сканирование 30 000 строк кода Java
80% покрытия кода правилами
0,1 FPR
Стандарты:
OWASP
(с возможностью указания ветки для сканирования)
SANS 25
провести ручной триаж уязвимостей с использованием
MISRA
передать триаж AI AppSec.Copilot, полностью автоматизируя
HIPAA
встроенных подсказок и рекомендаций по устранению
процесс
выгрузить отчет в форматах json, SARIF и HTML
завести в таск-трекерах Яндекс.Трекер/Jira задачи
по устранению дефектов.

4. Правила сканирования

70%-90% нахождения достоверных уязвимостей
Покрытие кода – 60%-80% - до 100 за счет код-AI
Возможность кастомизации правил
Регулярное обновление баз правил
Кастомизация правил:
Исключение:
Wave позволяет отключать стандартные правила
Создание правил:
Есть возможность создавать более сложные правила,
чем поиск по шаблонам
Отладка правил
Можно заниматься отладкой новых правил в самом
сканере, не забивая очередь реальных проектов

5. Интеграции и плагины

Плагины для IDE:
Web IDE
VS/VS code plugin
Idea plugin
API для CI/CD, позволит легко запускать
сканирование по запросу в удобный момент
и прерывать раскатку при нахождении критических
уязвимостей, максимальный shift left подход.

6. Архитектура решения

Wave поставляется в формате On Premise в виде комплекта
Docker-образов, может быть запущена как в рамках k8s-кластера,
так и на отдельной машине через Docker Compose.
Linux
Поддержка Docker/Kubernetes
БД – PostgreSQL
Интеграционное API для встраивания в
Трекеры
GIT
Стек технологий:
процессы CI/CD
Яндекс.Трекер
Комплект поставки: Docker-образ
Триаж
Инженер ИБ
Плагины IDE
Девопс
Разработчик
CI/CD
WAVE CLI
Среда: RedOS

7. Сравнительный анализ

Функциональность
AppSec.Wave
PTAI
AppScreener
Ручной триаж
+
+
+
Триаж с помощью AI (Q4)
+
Поддержка Kubernetes
+
Добавление новых правил (Q4)
+
+
+
Редактирование и отключение существующих
правил сканирования (Q1-Q2 2026)
+
Расширение списка поддерживаемых языков (Q1Q2 2026)
+
Сканирование веток GIT
+
+
+
Web IDE (Q4)
+
+
Интеграция с таск-трекерами (Q4)
+
+
+
Поддержка инкрементального анализа (Q4)
+
+
+

8. Сценарии взаимодействия и интеграции

CI/CD
CLI
Трекеры
Среды разработки
Web IDE
Visual
Studio
Code
Яндекс.Трекер
IntelliJ IDEA
Платформа ASPM
Сканирование
внешних
зависимостей
Контроль версий
Bitbucket
IntelliJ IDEA +
Триаж

9.

AppSec.Wave
Демо

10. Результаты сканирования: триаж

11. Результаты сканирования: отчет

12.

Москва,
Береговой проезд 5A корп.1
БЦ Фили-Град, этаж 11, помещение 4
+7 (495) 721 3776
inbox@appsec.global
English     Русский Правила