Платформа MTC RED ASOC является центром управления процессом безопасной разработки за счет централизованного запуска и управления инструментами анализа уязвимостей в ПО. MTC RED ASOC интегрируется с компонентами сборочной инфраструктуры, что позволяет автоматизировать процесс проверки ПО на уязвимости. Применение MTC RED ASOC позволяет более эффективно организовать автоматизацию проверок в рамках практик безопасной разработки – выстроить процесс DevSecOps. Результатом работы MTC RED ASOC является отчет с комплексной оценкой проверенного ПО на наличие уязвимостей с возможностью формирования статистики того, насколько уязвимым были приложения в более ранней версии по отношению к текущей.
Техническое решение является комплексным и содержит в себе сочетание следующих классов:
- ASOC (Application Security Orchestration & Correlation - ASOC) - платформа управления процессом безопасной разработки
- SAST (Static Application Security Testing) - статические анализаторы кода
- SCA\OSA (software composition analysis\ open source analysis) - инструменты композицинонного анализа
- DAST (Dynamic Application Security Testing) - динамический анализатор