Описание системы Hexway ASOC

Hexway ASOC — это платформа для безопасной разработки. Объединяет результаты любых сканеров. Анализирует и приоритизирует уязвимости, формируя процесс их исправления.

Единая платформа для безопасной разработки приложений Hexway (рус. Хексвей) от компании-разработчика Софт плюс (ТМ Hexway) предназначена для обеспечения комплексной поддержки кибербезопасности интернет-продуктов. Она включает в себя рабочую среду для проведения пентестов (тестов на проникновение) и платформу для управления уязвимостями, имеет встроенные сканеры и объединяет результаты из других сканеров (SAST, SCA, DAST).

Система Hexway ориентирована на ИТ-департаменты и службы информационной безопасности крупных и средних компаний, а также организаций с развитой цифровой инфраструктурой, которым необходимо обеспечивать высокий уровень защиты интернет-ориентированных продуктов и сервисов, проводить комплексное тестирование на проникновение и управлять уязвимостями в программном обеспечении.

Hexway предоставляет единую картину безопасности для всех: разработчики получают чёткие задачи с приоритетами на исправление; команды ИБ уверены, что в релиз идут только проверенные продукты, и контролируют соблюдение SLA по исправлению уязвимостей; CISO и CTO видят дашборды с ключевыми метриками (MTTR, TTM, ТОП риски).

Особенности платформы Hexway ASOC:

• Интегрируется с 30+ сканерами, таск-трекерами, VCS-платформами, CI/CD-инструментами.
• Подходит компаниям, которые разрабатывают собственные приложения или цифровые сервисы для клиентов или для внутренних процессов.
• Имеет центральную панель мониторинга с ключевыми показателями (MTTR, TTM, топ-риски).
• Интегрируется с публичными и локальными LLM, с помощью интеллектцальных рекомендаций оценивает риски, предлагает варианты их исправления прямо в интерфейсе платформы.
• Убирает до 70% шума (ложных срабатываний и дубликатов), преобразуя тысячи предупреждений в понятные задачи для разработчиков.
• На 40% сокращает рутину, освобождая время AppSec-команд для устранения реальных угроз.
• Применим во всех отраслях, включая банки, финтех, госсектор, КИИ (с требованиями регуляторов ФЗ-187, ФСТЭК, ЦБ РФ), ритейл, промышленность, e-com, страхование, ИТ, девелопмент, HoReCa.

Функциональные возможности Hexway ASOC:

• Агрегация данных от разнородных сканеров ИБ. Платформа консолидирует результаты проверок из множества инструментов анализа безопасности, включая статические (SAST), динамические (DAST) и интерактивные (IAST) сканеры, а также средства анализа зависимостей (SCA). Это позволяет сформировать единую картину уязвимостей без необходимости переключения между интерфейсами отдельных решений.
• Дедупликация обнаруженных уязвимостей. Система автоматически выявляет и объединяет дублирующиеся находки, относящиеся к одной и той же проблеме в коде или конфигурации. Алгоритмы сопоставления учитывают контекст, местоположение и семантику уязвимости, исключая избыточные записи и снижая нагрузку на команду безопасности при анализе отчётов.
• Корреляция данных для повышения точности оценок. Платформа соотносит результаты разных типов сканирований, выявляя взаимосвязи между уязвимостями и их потенциальным воздействием. Это позволяет отличать ложные срабатывания от реальных угроз, а также определять цепочки атак, которые могут быть незаметны при изолированном анализе данных отдельных сканеров.
• Автоматизированный запуск сканирований по расписанию или событиям. Hexway ASOC позволяет настраивать триггеры для инициации проверок — например, при коммите в репозиторий или развёртывании в тестовую среду. Это обеспечивает непрерывный мониторинг безопасности на всех этапах разработки, минимизируя временные задержки между внесением изменений и их проверкой.
• Формирование задач на устранение уязвимостей. На основе приоритизированных данных система генерирует тикеты в системы управления задачами (Jira, AzureDevOps и др.), содержащие детализированную информацию о проблеме, её критичности и рекомендациях по исправлению. Это упрощает взаимодействие между разработчиками и специалистами по безопасности, ускоряя процесс ремедиации.
• Приоритизация уязвимостей с учётом контекста. Платформа оценивает риски не только по стандартным метрикам (CVSS), но и с учётом специфики приложения, его архитектуры и бизнес‑значимости. Это позволяет фокусироваться на устранении наиболее критичных проблем, влияющих на безопасность ключевых компонентов, а не на формальном закрытии всех обнаруженных недочётов.
• Визуализация и отчётность по состоянию безопасности. Hexway ASOC предоставляет дашборды с динамической аналитикой, отражающей динамику устранения уязвимостей, эффективность процессов ремедиации и соответствие стандартам безопасности. Отчёты можно настраивать под требования разных ролей — от технических специалистов до руководства, что облегчает принятие решений на всех уровнях управления.

Подробнее: https://hexway.ru/