Перейти к содержанию

О продукте

Назначение

Стингрей (система) — это решение для поиска уязвимостей и автоматизации регрессионного тестирования информационной безопасности в мобильных приложениях с использованием технологий машинного обучения (Machine Learning).

Основной особенностью, отличающей систему Стингрей, является уникальный механизм создания автоматических тест-кейсов, которые воспроизводятся и адаптируются к изменению интерфейса приложения с минимальным участием пользователя, что существенно сокращает затраты человеческих ресурсов на тестирование, поиск уязвимостей и позволяет реализовать процесс тестирования безопасности в рамках непрерывного процесса разработки (DevOps). При всей сложности внутри, для пользователя запись тест-кейса выглядит, как обычная работа с приложением, нет необходимости в написании скриптов или как-то по-особенному собирать приложение, просто пройдите необходимые шаги в приложении, как если бы оно было установлено на обычном мобильном устройстве.

Система поддерживает технологии байт код анализа (BCA), статического (SAST), интерактивного (IAST), динамического (DAST) тестирования и тестирования API (API ST), сбор и предоставление полной информации о работе приложения на устройстве. Система способна обнаруживать более 60-ти типов уязвимостей и производить проверку на соответствие регуляторным и индустриальным требованиям информационной безопасности: PCI DSS 4.0, OWASP Mobile Top-10 (2016), OWASP MASVS, PCI Software Security Framework, ОУД4, ГОСТ-57580, а также позволяет создавать свои внутренние стандарты безопасности.

Возможности

Различные режимы сканирования

В системе Стингрей существует несколько режимов анализа безопасности приложений, которые подходят для различных сценариев тестирования. Ручной анализ для разового тестирования приложения и автоматический режим для встраивания в процесс разработки.

Гибкое изменение правил анализа

Изменение правил анализа позволяет достигнуть максимальной эффективности при нахождении дефектов. Компоненты системы, отвечающие за сбор данных представлены в виде модулей с простой и понятной конфигурацией. Модификация правил сделана в виде конструктора, благодаря которому изменение не займет много времени.

Встраивание в процесс CI/CD

Помимо полноценного REST API, предусмотрены интеграции в системы дистрибуции мобильных приложений. Максимальная гибкость и разнообразие настроек позволяет использовать систему Стингрей в том процессе, который уже построен для разработки приложения, и информировать разработчиков о наличии уязвимостей еще на этапе первых сборок.

Проверка на соответствие стандартам безопасности

При анализе приложения доступны не только описания и рекомендации по устранению выявленных уязвимостей, но и вся собранная информация о работе приложения, а также детальный отчет о его соответствии всем актуальным мировым стандартам информационной безопасности.

Вся собранная информация о работе приложения

Все данные, собранные во время работы приложения на устройстве, сохраняются, структурируются, анализируются в процессе выявления уязвимостей и предоставляются в качестве артефактов сканирования.

Детальные рекомендации о выявленных уязвимостях

Стингрей позволяет обнаруживать более 60-ти типов уязвимостей, технология базируется на наблюдении за поведением приложения на устройстве во время различных режимов сканирования.

После всех этапов анализа, выявленные в ходе работы приложения уязвимости отображаются в интерфейсе с подробной информацией о месте возникновения, критичности, детальными рекомендациями по исправлению и, самое главное, недопущению подобных уязвимостей в дальнейшем.

Рекомендации постоянно обновляются новыми способами защиты и лучшими мировыми практиками.

Уникальный механизм автоматизации регрессионного тестирования

Для автоматизации тестирования в системе Стингрей разработан уникальный механизм записи, воспроизведения и адаптации тест-кейсов. Механизм основан на глубокой интеграции с операционной системой и методах машинного обучения. При всей сложности внутри, для пользователя запись тест-кейса выглядит, как обычная работа с приложением, не нужно писать скрипты или как-то по-особенному собирать приложение, просто пройдите необходимые шаги в приложении, как если бы оно было установлено на обычном мобильном устройстве.

К началу