Ferramenta de Gerenciamento e Avaliação de Vulnerabilidade O
Jackhammer é uma ferramenta de colaboração construída com o objetivo de superar a lacuna entre equipe de segurança vs equipe de desenvolvimento, equipe de controle de qualidade e ser um facilitador para a TPM entender e rastrear a qualidade do código em produção. Poderia fazer análise de código estático e análise dinâmica com capacidade de gerenciamento de vulnerabilidade incorporada. Encontra vulnerabilidades de segurança nos aplicativos de destino e ajuda as equipes de segurança a gerenciar o caos nesta nova era de integração contínua e implantações contínuas / múltiplas.
Jackhammer é uma ferramenta de colaboração construída com o objetivo de superar a lacuna entre equipe de segurança vs equipe de desenvolvimento, equipe de controle de qualidade e ser um facilitador para a TPM entender e rastrear a qualidade do código em produção. Poderia fazer análise de código estático e análise dinâmica com capacidade de gerenciamento de vulnerabilidade incorporada. Encontra vulnerabilidades de segurança nos aplicativos de destino e ajuda as equipes de segurança a gerenciar o caos nesta nova era de integração contínua e implantações contínuas / múltiplas.
Ele funciona completamente no RBAC (Role Based Access Control). Existem painéis de controle legais para varreduras individuais e varreduras de equipe que oferecem ampla flexibilidade para colaborar com equipes diferentes. É totalmente construído em uma arquitetura conectável que pode ser integrada com qualquer ferramenta de código aberto / comercial.
O Jackhammer usa o projeto de pipeline OWASP para executar múltiplas ferramentas de código aberto e comerciais contra seu código, webapp, aplicativo móvel, cms (wordpress), rede.
Principais características:
fornece interface unificada para colaborar em descobertas A
verificação (código) pode ser feita para todos os repositórios de gerenciamento de código
Agendamento de varreduras com base em intervalos # diariamente, semanalmente, mensalmente
Filtragem falsa avançada avançada
Publique vulnerabilidades em sistemas de rastreamento de bugs
Mantenha uma guia sobre estatísticas e tendências de vulnerabilidade em seus aplicativos
Integra-se com a maioria das ferramentas de exploração de código aberto e comercial
Gerenciamento de usuários e funções gerando maior controle
Níveis de severidade configuráveis na lista de resultados em todas as aplicações
Filiação de status de vulnerabilidade incorporada
Filtros fáceis de usar para revisar conjuntos segmentados de toneladas de vulnerabilidades
Escaneamento assíncrono (via sidekiq) que escala
Seamless Vulnerability Management
Acompanha estatísticas e tendências de segurança de gráficos em seus aplicativos
Integra-se facilmente com uma variedade de ferramentas de exploração de código aberto, comerciais e personalizadas
Scanners de vulnerabilidade suportados:
Análise estática:
Brakeman
Bundler-Audit
Checkmarx **
Dawnscanner
FindSecurityBugs
Xanitizer *
NodeSecurityProject
PMD
Retire.js * licença necessária ** licença comercial necessária
Encontrar segredos / tokens / creds codificados:
Trufflehog (Ligeiramente modificado / estendido para melhor resultado e integração a partir de maio de 2017)
Webapp:
Arachni
Aplicação móvel:
Androbugs (Ligeiramente modificado / estendido para melhor resultado e integração a partir de maio de 2017)
Androguard (Ligeiramente modificado / estendido para melhor resultado e integração a partir de maio de 2017)
WordPress:
WPScan (Ligeiramente modificado / estendido para melhor resultado e integração a partir de Maio de 2017)
Rede:
Nmap
Adicionando personalizado (outros escores de código aberto / comercial / pessoal):
você pode adicionar qualquer scanner ao martelo em 10-30 minutos.
Credenciais padrão:
nome de usuário: [email protected]
senha: [email protected]
Demo
Docs
Download