Перейти к содержанию
nASOC
запросить демо
§00 / native ASOC / Self-hosted

Native ASOC для GitLab и GitHub.

nASOC сам нативно запускает 30+ сканеров — SAST, SCA, секреты, DAST, supply-chain — коррелирует находки в кластеры и держит soft- или hard-gate на каждом merge request.

запросить демо модели поставки
§01 / Один движок — всё покрытие / native + import
SAST ·
SCA ·
Secrets ·
DAST ·
Supply chain ·
Container ·
IaC ·
SBOM ·
License ·
SAST ·
SCA ·
Secrets ·
DAST ·
Supply chain ·
Container ·
IaC ·
SBOM ·
License ·
scm GitLab ·
scm GitHub ·
issues Jira ·
registry Harbor ·
ci GitLab CI ·
ci GitHub Actions ·
ci Tekton ·
import SARIF v2.1.0 ·
sbom CycloneDX ·
vulndb OSV ·
std OWASP ·
enrich CISA KEV ·
enrich EPSS ·
notify Telegram ·
notify Slack ·
scm GitLab ·
scm GitHub ·
issues Jira ·
registry Harbor ·
ci GitLab CI ·
ci GitHub Actions ·
ci Tekton ·
import SARIF v2.1.0 ·
sbom CycloneDX ·
vulndb OSV ·
std OWASP ·
enrich CISA KEV ·
enrich EPSS ·
notify Telegram ·
notify Slack ·
30+ сканеров · нативный запуск · импорт SARIF v2.1.0
§02 / Возможности

Native ASOC. Не агрегатор отчётов. Сам запускает сканеры, коррелирует — и держит Soft и Hard Gate на каждом MR/PR.

В отличие от ASOC-конкурентов, которые только импортируют чужие отчёты, nASOC нативно гоняет 30+ опенсорс-сканеров — и при этом умеет принимать сторонние результаты. Полностью on-prem.

8 подсистем · GitLab · GitHub · on-prem · air-gap
01. scanners

Нативный запуск 30+ сканеров

Не импорт, а собственный движок

Собственные SAST-, SCA- и secret-движки — без внешних интеграций, код остаётся в контуре. 30+ сканеров под единым оркестратором с retry, метриками и аудитом. Анализ MR/PR — менее 5 минут.

  • sast · sca · secrets
  • 30+ сканеров
  • < 5 мин на MR
02. correlation

Корреляция и дедупликация

Находки сворачиваются в кластеры

Fingerprint-дедупликация и кластеризация связанных находок между сканами и сканерами. Один кластер вместо десятков дублей по разным инструментам — шум падает на 80 %, а Security Team видит реальную поверхность риска.

  • fingerprint dedup
  • −80 % шума
  • cross-scanner
03. gate

Soft и Hard Gate на MR/PR

PASS / WARN / FAIL — soft или hard

Вердикт безопасности на каждом merge/pull request. В soft-режиме FAIL может снять Security Team (override); в hard-режиме merge блокируется жёстко — без обхода. Grace-периоды, baseline и branch-based политики настраивают строгость под вашу зрелость.

  • soft → hard
  • pass · warn · fail
  • override · baseline
04. ai engine

AI-триаж и приоритизация

Меньше ручной разметки, больше autofix

Авто-триаж по правилам с LLM, приоритизация через EPSS / CISA KEV / NVD enrichment, дедупликация эмбеддингами. Autofix формирует PR с исправлениями зависимостей и уязвимостей.

  • epss · kev · nvd
  • autotriage · embeddings
  • autofix PR
05. dast

DAST с нативными агентами

От discovery до OOB-callback

Динамическое тестирование рантайма собственными DAST-агентами под единым оркестратором: discovery поверхности, активное сканирование и OOB-callback сервер для blind-детектов. Параллельные general- и AI-агенты.

  • discovery · scan
  • oob-callback
  • AI-агенты
06. supply chain

Supply chain · SBOM

Видимость по всей цепочке поставок

Анализ зависимостей и SBOM: сверка с базами уязвимостей, оценка здоровья репозиториев и генерация SBOM в формате CycloneDX. Контроль рисков транзитивных зависимостей и реестров.

  • vuln db
  • cyclonedx
  • sbom
07. import

Импорт результатов из CI

Native-запуск + результаты из вашего CI

Помимо нативного запуска, nASOC принимает результаты сканеров прямо из ваших пайплайнов — GitLab CI, GitHub Actions, Jenkins — через универсальный парсер SARIF v2.1.0 и нативные форматы. Импортированные находки проходят тот же pipeline: dedup → кластеризация → вердикт гейта.

  • gitlab ci · github actions
  • sarif v2.1.0
  • единый pipeline
08. integrations

Интеграции из коробки

Встраивается в ваш существующий стек

GitLab и GitHub (webhooks, MR/PR комментарии, commit status, check runs), Jira для тикетов, Telegram / Slack для оповещений, Harbor для registry и Tekton для CI/CD. On-prem — всё работает в вашем контуре.

  • gitlab · github
  • jira · harbor · tekton
  • telegram · slack
§03 / Архитектура
webhook verdict < 5 мин на MR

Один конвейер. Тот же порядок — на каждом MR.

Один поток — и для пуша в monorepo на тысячи коммитов, и для одиночного MR в три часа ночи из CI. Между стадиями — собственные очереди, retry-policy, метрики и аудит. Никакой скрытой логики между кодом и вердиктом: находки дедуплицируются в кластеры, gate (soft или hard) выносит вердикт; в soft-режиме Security Team может сделать override.

obligatory один путь · каждый MR/PR
webhook receiver Redis queue scan agents dedup · cluster soft/hard gate publish
сканеры параллельно — SAST · SCA · secrets · DAST · supply-chain · вердикт → MR / PR comment · Jira · Telegram / Slack
mr< 5 мин
scanners30+
noise−80 %
gatesoft / hard
sources & publishers 7
GitLab ·GitHub ·Jira ·Telegram ·Slack ·Harbor ·Tekton
покрытие · нативный запуск + import 30+ сканеров под капотом
SASTSCASecretsDASTSupply chainContainerIaCSBOMLicenseImport SARIF
§04 / Compliance

Фреймворки соответствия закрываются контролями платформы.

Каждый стандарт — отдельная матрица: внешнее требование ↔ контроль nASOC ↔ артефакт аудита. Полностью on-prem: air-gap деплой, RBAC и неизменяемый журнал.

Регуляторы РФ
ГОСТ Р / ФСТЭК

Анализ кода и контроль уязвимостей в процессах безопасной разработки (РБПО).

Регуляторы РФ
ОУД4 (ГОСТ Р ИСО/МЭК 15408)

Артефакты SAST/SCA/DAST и трассировка находок для оценки доверия.

Регуляторы РФ
СТО БР ИББС

Контроль защищённости приложений и журналирование для финсектора.

Международный
PCI DSS 4.0

Req. 6: безопасная разработка, устранение уязвимостей, soft/hard gate на MR/PR.

Международный
ISO/IEC 27001:2022

A.8.25–A.8.28: secure development, контроль кода, управление уязвимостями.

Международный
OWASP ASVS 4.0

Маппинг требований верификации на политики гейта и наборы сканеров.

Международный
OWASP Top-10 / SOC 2

Покрытие топ-рисков и Trust Services Criteria: Security, Confidentiality.

Суверенитет данных
On-prem / Air-gap

Изолированный деплой, RBAC, неизменяемый аудит.

§05 / Интеллект

Сканеры дают шум. ИИ — ранжированный сигнал.

AI-движок коррелирует находки 30+ сканеров в кластеры, отсекает false-positive и ранжирует по реальному риску. LLM-слой — Anthropic · OpenWebUI · LM Studio — работает on-prem, с redaction секретов в промптах.

247
сырых находок · 12 сканеров
AI-движок −80% шума
12
кластеров · ранжированы по риску
correlation

Корреляция и дедуп

Эмбеддинги связывают находки разных сканеров и сканов в один кластер. Меньше дублей — −80% шума.

auto-triage

Авто-триаж

Правила и LLM как первый проход: явные false-positive отсекаются, спорное уходит человеку на подтверждение.

priority

Приоритизация по риску

EPSS · CISA KEV · NVD enrichment плюс контекст находки — наверху то, что реально эксплуатируется.

autofix

Autofix-PR

Движок формирует PR с фиксами зависимостей и уязвимостей — не просто отчёт, а готовый к мержу патч.

LLM-провайдера выбираете вы — облачный или полностью локальный. Промпты редактируются, данные остаются в контуре. Сверху — прогноз MTTR / SLA и детекция аномалий по истории находок.

−80% шума · 3 LLM-провайдера · <5 мин на MR · EPSS · KEV · NVD
запросить демо
§06 / Поставка
03.
self-hosted · on-prem

Один продукт — три модели поставки по модулям.

nASOC разворачивается полностью self-hosted в вашей инфраструктуре. Лицензия по узлам и репозиториям, модули включаются feature-флагами. Цена и SLA — индивидуально.

CORE Старт on-prem
По запросу

Soft / Hard Gate и нативные сканеры в вашем контуре. Базовый AppSec-контроль на каждом MR/PR.

  • Soft / Hard Gate: вердикт PASS / WARN / FAIL на MR/PR
  • Базовые сканеры: SAST · SCA · secrets
  • Корреляция и дедупликация в кластеры (−80% шума)
  • Интеграции GitLab и GitHub
  • Self-hosted: Docker Compose · Helm chart
  • Email-поддержка, NBD-response
запросить расчёт →
STANDARD Рекомендуем
По запросу

Полный конвейер AppSec: DAST, CI/CD-контроль, supply chain и импорт сторонних отчётов.

  • Всё из CORE + 30+ нативных сканеров
  • DAST: нативные агенты (discovery + OOB-callback)
  • CI/CD-мониторинг: GitLab pipelines, Tekton
  • Supply chain / SBOM: OSV · CycloneDX
  • Импорт результатов из CI: SARIF v2.1.0
  • Интеграция с Jira, Harbor
  • SLA 24×7, response 1 час
запросить расчёт →
ENTERPRISE Air-gap ready
По запросу

Максимальная поставка: AI-движок, mobile, нотификации и приоритетная поддержка под ваш контур.

  • Всё из STANDARD + AI-движок
  • Авто-триаж и приоритизация (EPSS · CISA KEV · NVD enrichment)
  • Дедупликация эмбеддингами, autofix-PR с фиксами
  • Mobile-сканирование, нотификации (Telegram · Slack)
  • Air-gap / полностью изолированный режим
  • Приоритетная поддержка, security-патчи, обучение команды
связаться →
30+
нативных сканеров
−80%
шума за счёт корреляции
<5 мин
анализ MR / PR
Gate
soft / hard — на каждом MR / PR
On-premise

Self-hosted для GitLab и GitHub — разворачивается в вашей инфраструктуре, без SaaS-контура.

Единый контур

SAST, secrets, SCA, DAST и supply chain в одной платформе — без зоопарка инструментов и ручной сшивки отчётов.

Корреляция, не свалка

Находки дедуплицируются и собираются в кластеры. AppSec видит уникальные проблемы, а не повторы из разных сканеров.

Native scanning, не только импорт

В отличие от классических ASOC, nASOC сам запускает 30+ опенсорс-сканеров — и при этом импортирует сторонние отчёты в SARIF v2.1.0.