Описание системы Hexway ASOC

Hexway ASOC — это платформа для безопасной разработки. Объединяет результаты любых сканеров. Анализирует и приоритизирует уязвимости, формируя процесс их исправления

Агрегация данных от сканеров ИБ, дедупликация, корреляция, запуск сканирований, формирование задач на исправление, интеграция с ИИ. Согласование и сопоставление безопасности приложений (ASOC). Безопасность программной разработки (DevSecOps). Управление исходным кодом. Управление информационно-технологической инфраструктурой. Автоматизация разработки и эксплуатации (DevOps). Application Security Orchestration and Correlation (ASOC). Development Security Operations (DevSecOps). Source Code Management (СУИК). Information Technology Infrastructure Management (СУИТИ). Development and Operation Automation (ПРЭ). Application Development (ПРПП).. Единая платформа для безопасной разработки приложений Hexway (рус. Хексвей) от компании-разработчика Софт плюс (ТМ Hexway) предназначена для обеспечения комплексной поддержки кибербезопасности интернет-продуктов. Она включает в себя рабочую среду для проведения пентестов (тестов на проникновение) и платформу для управления уязвимостями, имеет встроенные сканеры и объединяет результаты из других сканеров (SAST, SCA, DAST).

Система Hexway ориентирована на ИТ-департаменты и службы информационной безопасности крупных и средних компаний, а также организаций с развитой цифровой инфраструктурой, которым необходимо обеспечивать высокий уровень защиты интернет-ориентированных продуктов и сервисов, проводить комплексное тестирование на проникновение и управлять уязвимостями в программном обеспечении.

Hexway предоставляет единую картину безопасности для всех: разработчики получают чёткие задачи с приоритетами на исправление; команды ИБ уверены, что в релиз идут только проверенные продукты, и контролируют соблюдение SLA по исправлению уязвимостей; CISO и CTO видят дашборды с ключевыми метриками (MTTR, TTM, ТОП риски).

Особенности платформы Hexway ASOC:

• Интегрируется с 30+ сканерами, таск-трекерами, VCS-платформами, CI/CD-инструментами.

• Подходит компаниям, которые разрабатывают собственные приложения или цифровые сервисы для клиентов или для внутренних процессов.

• Имеет центральную панель мониторинга с ключевыми показателями (MTTR, TTM, топ-риски).

• Интегрируется с публичными и локальными LLM, с помощью интеллектцальных рекомендаций оценивает риски, предлагает варианты их исправления прямо в интерфейсе платформы.

• Убирает до 70% шума (ложных срабатываний и дубликатов), преобразуя тысячи предупреждений в понятные задачи для разработчиков.

• На 40% сокращает рутину, освобождая время AppSec-команд для устранения реальных угроз.

• Применим во всех отраслях, включая банки, финтех, госсектор, КИИ (с требованиями регуляторов ФЗ-187, ФСТЭК, ЦБ РФ), ритейл, промышленность, e-com, страхование, ИТ, девелопмент, HoReCa.

Функциональные возможности Hexway ASOC:

• Агрегация данных от разнородных сканеров ИБ. Платформа консолидирует результаты проверок из множества инструментов анализа безопасности, включая статические (SAST), динамические (DAST) и интерактивные (IAST) сканеры, а также средства анализа зависимостей (SCA). Это позволяет сформировать единую картину уязвимостей без необходимости переключения между интерфейсами отдельных решений.

• Дедупликация обнаруженных уязвимостей. Система автоматически выявляет и объединяет дублирующиеся находки, относящиеся к одной и той же проблеме в коде или конфигурации. Алгоритмы сопоставления учитывают контекст, местоположение и семантику уязвимости, исключая избыточные записи и снижая нагрузку на команду безопасности при анализе отчётов.

• Корреляция данных для повышения точности оценок. Платформа соотносит результаты разных типов сканирований, выявляя взаимосвязи между уязвимостями и их потенциальным воздействием. Это позволяет отличать ложные срабатывания от реальных угроз, а также определять цепочки атак, которые могут быть незаметны при изолированном анализе данных отдельных сканеров.

• Автоматизированный запуск сканирований по расписанию или событиям. Hexway ASOC позволяет настраивать триггеры для инициации проверок — например, при коммите в репозиторий или развёртывании в тестовую среду. Это обеспечивает непрерывный мониторинг безопасности на всех этапах разработки, минимизируя временные задержки между внесением изменений и их проверкой.

• Формирование задач на устранение уязвимостей. На основе приоритизированных данных система генерирует тикеты в системы управления задачами (Jira, AzureDevOps и др.), содержащие детализированную информацию о проблеме, её критичности и рекомендациях по исправлению. Это упрощает взаимодействие между разработчиками и специалистами по безопасности, ускоряя процесс ремедиации.

• Приоритизация уязвимостей с учётом контекста. Платформа оценивает риски не только по стандартным метрикам (CVSS), но и с учётом специфики приложения, его архитектуры и бизнес‑значимости. Это позволяет фокусироваться на устранении наиболее критичных проблем, влияющих на безопасность ключевых компонентов, а не на формальном закрытии всех обнаруженных недочётов.

• Визуализация и отчётность по состоянию безопасности. Hexway ASOC предоставляет дашборды с динамической аналитикой, отражающей динамику устранения уязвимостей, эффективность процессов ремедиации и соответствие стандартам безопасности. Отчёты можно настраивать под требования разных ролей — от технических специалистов до руководства, что облегчает принятие решений на всех уровнях управления.