SASTAV.SCA

Решение для композиционного анализа приложений

Российское решение для композиционного анализа приложений (SCA), обеспечивающее безопасное и управляемое использование open-source компонентов. Инструмент выявляет уязвимости, протестное ПО (protestware) и лицензионные риски. Поддерживает два режима: классический анализ в CI/CD и Dependency Firewall для контроля репозиториев артефактов с блокировкой небезопасных компонентов. Предоставляет интерактивный граф зависимостей, ролевую модель доступа и гибкие политики безопасности.

Назначение

Управление уязвимостями, protestware и лицензионными ограничениями при использовании открытого кода.

Контроль сложных цепочек поставок ПО вместо слепого доверия компонентам.

Блокировка небезопасных компонентов до их попадания в компанию через Dependency Firewall.

Выявление лицензионных рисков и несоответствий политикам компании.

Интеграция в CI/CD с гибкими политиками безопасности и порогами качества.

Ключевые возможности

Точность и полнота: собственная логика определения наличия уязвимости на базе качественных источников и экспертизы в protestware.Точнее находим –быстрее исправляем.

Лицензионный контроль: выявление рисков используемых в компании лицензий OS компонентов и несоответствий политики компании.

Широкий охват: поддержка исходного кода, дистрибутивных пакетов, Docker-образов, SBOM, директорий и отдельных файлов.

Интеграция: совместимость с Nexus, JFrog, Harborи другими репозиториями артефактов.

Dependency Firewall: контроль открытых компонентов до их попадания в компанию.

Два режима работы: классический анализ и сетевой proxy-режим для раннего перехвата.

Встраивание в SDLC: бесшовная интеграция в CI/CD, работа в закрытых контурах.

Управляемость: ролевая модель доступов, гибкие политики, блокирующие проверки безопасности и пороги качества.

Наглядность: интерактивный граф зависимостей и детальный состав компонентов: от пакета и версии до лицензии и риска.