Propostas Implementação, Demo de Suporte técnico Suporte

1 © 2021 Synopsys, Inc. customizadas supervisão e treinamento produtos local pós-venda

Synopsys
Líder em Qualidade e
Segurança de Aplicações

2 © 2021 Synopsys, Inc.

Mais de 30 anos de liderança, crescimento e inovação
Top 20 empresas Crescimento constante Cultura de engenharia
globais de software
1. Microsoft 4,500
2. Oracle 4,000
3. SAP 3,500
4. Symantec
3,000
5. VMware

$ Millions
6. Salesforce 2,500
7. Intuit 2,000 Funcionários: ~15.000
8. CA Technologies 1,500
9. Adobe 1,000
Engenheiros: ~6,000
10. Teradata
11. Amdocs
500 SIG: ~1,500
12. Cerner 0
13. Citrix
14. Autodesk
Alcance global
15.
15. Synopsys 30+ anos de inovação
Valor de mercado ~ $45B
16. Sage Group Receita 2020 ~ $3.7B
17. Akamai Technologies
18. Nuance
19. Open Text $1.4B+ investidos em SIG
20. F5 Networks

3 © 2021 Synopsys, Inc.

Synopsys SIG – Software Integrity Group

2021

4 © 2021 Synopsys, Inc.

Líder no Quadrante Mágico do Gartner…

5 © 2021 Synopsys, Inc.

A Synopsys é considerada a empresa #1 no Quadrante Mágico da Gartner para Teste de
Segurança de Aplicações (AST) pelo quinto ano consecutivo. Com base em nossa
capacidade de execução e visão, estamos posicionados na posição mais alta e mais
distante, pelo terceiro ano consecutivo.

2019 2020 2021

6 © 2021 Synopsys, Inc.

Mais de 4.000 empresas confiam na Synopsys...

7 © 2021 Synopsys, Inc.

 A sua aplicação é composta por:

Componentes Comportamento e
Código proprietário
Open Source configurações
Software Composition
Análise estática Análise dinâmica
Analysis

• Analisa o Código fonte • Analisa os riscos do • Analisa aplicações em

• Encontra falhas de
segurança comuns:
− SQL injection
− Cross-site scripting
− Buffer overflows, etc.
Código Open Source: funcionamento
− Vulnerabilidades • Testa o comportamento
conhecidas da aplicação:
− Conformidade de licenças − Falhas de segurança
− Riscos do uso de código − Tratamento de dados
Open Source sensíveis

8 © 2021 Synopsys, Inc.

 Dev Sec Ops
plan code build test release deploy operate monitor

Análise Estática = Coverity / Polaris Análise Dinâmica = Seeker

Análise de Composição de Software = Black Duck

Treinamento = eLearning

9 © 2021 Synopsys, Inc.

Coverity on Polaris (SaaS)
Static Application Security Testing

10 © 2021 Synopsys, Inc.

 Coverity – Análise Estática
Encontre falhas de segurança e qualidade em seu código, enquanto ele é escrito.

MENOR TAXA DE FALSO

POSITIVO DO MERCADO

ANÁLISE
INTERPROCEDURAL

ANÁLISE
INCREMENTAL

SEGURANÇA + QUALIDADE + FALHAS DE LÓGICA

11 © 2021 Synopsys, Inc.

 Coverity – Análise Estática
Code Sight – Plugin para IDEs

Code Sight IDE Plugin

Análise em tempo real para
encontrar vulnerabilidades
antes do envio do código
para o repositório e o build
central aconteça.

As analises são executadas

automaticamente e as
vulnerabilidades são
reportadas imediatamente
com todas as informações
para que o desenvolvedor
possa corrigi-las

12 © 2021 Synopsys, Inc.

 Coverity – Análise Estática
Guia para correção

Resultados práticos
Tanto na interface web quanto no
plugin da IDE, o Coverity fornece um
guia completo com informações
detalhadas sobre a vulnerabilidade,
indicando claramente o que é a
vulnerabilidade, as linhas de código
relacionadas, seu efeito e como
corrigi-la.

13 © 2021 Synopsys, Inc.

 Coverity – Static Analysis
Abrangente suporte a linguagens de programação, padrões de compliance e integrações

Linguagens suportadas SDLC

workflow

Mais detalhes: https://www.synopsys.com/content/dam/synopsys/sig-assets/datasheets/SAST-Coverity-datasheet.pdf

14 © 2021 Synopsys, Inc.

 Polaris – The Software Integrity Platform

15 © 2021 Synopsys, Inc.

 Polaris – The Software Integrity Platform
Relatórios unificados entre todas as ferramentas.

20 © 2021 Synopsys, Inc.

 Polaris – The Software Integrity Platform
Relatórios unificados entre todas as ferramentas.

21 © 2021 Synopsys, Inc.

Black Duck
Software Composition Analysis

22 © 2021 Synopsys, Inc.

 Black Duck – Análise de Composição de Software
Relatório: Open Source Security & Risk Analysis

23 © 2021 Synopsys, Inc.

 Black Duck – Análise de Composição de Software
Análise Estática não é suficiente para códigos Open Source

Ferramentas automatizadas de
SAST são ótimas para encontrar
vulnerabilidades em código escrito
pelos seus desenvolvedores

Mas a maioria das

vulnerabilidades dos
componentes Open Source são
muito complexas e profundas
para serem identificadas por
uma ferramenta automatizada
de SAST
24 © 2021 Synopsys, Inc.
 Black Duck – Análise de Composição de Software
A Base de Conhecimento do Black Duck

19+ 1.25+
ANOS DE ATIVIDADE PETABYTES
OPEN SOURCE

75+ 21,000+
FONTES
TIME DEDICADO A BASE
DE CONHECIMENTO
BLACK DUCK
KNOWLEDGE BASE
80+
Aprimorado LINGUAGENS DE PROGRAMAÇÃO
TRATAMENTO DE
VULNERABILIDADES

25 © 2021 Synopsys, Inc.

 Black Duck – Análise de Composição de Software
Black Duck – Descubra o risco do seu código Open Source

RISCO DE
SEGURANÇA

RISCO DE
LICENCIAMENTO

RISCO
OPERACIONAL

COMPATÍVEL
COM DEVOPS

26 © 2021 Synopsys, Inc.

 Black Duck – Software Composition Analysis
Análise rápida e detalhada feita pela equipe Black Duck Security Advisory team

27 © 2021 Synopsys, Inc.

 Black Duck – Software Composition Analysis
Análise rápida e detalhada feita pela equipe Black Duck Security Advisory team

24 horas após a
vulnerabilidade ser
descoberta!

28 © 2021 Synopsys, Inc.

 Black Duck – Software Composition Analysis
Informação pública, disponível no NVD (National Vulnerability Database)

29 © 2021 Synopsys, Inc.

 Black Duck – Software Composition Analysis
Informação pública, disponível no NVD (National Vulnerability Database)

Média de três semanas

após a vulnerabilidade ser
descoberta.

30 © 2021 Synopsys, Inc.

 Black Duck – Software Composition Analysis
Obrigações e proibições das licenças

31 © 2021 Synopsys, Inc.

 Black Duck – Análise de Composição de Software
Compatível com DevSecOps
Container/Binary Package
IDE
DEV/IDE SCM
SCM Build/CI
Build / CI Repositories Management QA Orchestration
Orchestration Production

Eclipse GitHub OpenShift EC2

Visual Studio ECR Kubernetes GCP

Pivotal
Chrome GCR Cloud Foundry
Azure
TFS/VSTS ACR Cloud Foundry

CodeBuild Red Hat OpenShift3

Container Catalog

Microsoft Teams GitLab Artifactory Kubernetes3

Travis

Concourse
Mais detalhes Ruby
Team City XRay
32 © 2021 Synopsys, Inc.
 Black Duck – Análise de Composição de Software
Plugin para IDEs e Google Chrome

33 © 2021 Synopsys, Inc.

Seeker
Interactive Application Security Testing

34 © 2021 Synopsys, Inc.

 Seeker – Análide Interativa
Encontre vulnerabilidades reais enquanto aplicações Web estão sendo executadas

FÁCIL USO E
CONFIGURAÇÃO

RESULTADOS PRECISOS
EM TEMPO REAL

TRATAMENTO DE
DADOS SENSÍVEIS

INTEGRAÇÃO COM
DEVOPS

35 © 2021 Synopsys, Inc.

 Seeker – Análise Interativa
CI/CD – Workflow de exemplo

code build test deploy operate

Desenvolvedor
App e o Seeker
faz o envio do Build no
são iniciados em Vulnerabilidades
código ao CI/CD
ambiente de teste são reportadas
repositório

Decisão sobre Teste

continuar/falhar o Funcional é
build é tomada realizado

Selenium…
Script de teste…
Teste manual…

36 © 2021 Synopsys, Inc.

Como o Seeker funciona?

Your Application
1 A aplicação recebe uma requisição
HTTP.
1

2 O agente analisará o código e a http://...

memória, com foco em atividades
de segurança como Injections,
armazenamento incorreto, LDAP,
XPath, etc. Seeker
Agent
3 2
Os resultados são verificados
ativamente e reportados,
juntamente com as linhas de Código 3
vulneráveis, dados de execução e
prova de verificação
Seeker
Enterprise Server
37 © 2021 Synopsys, Inc.
 Seeker – Análise Interativa
Linguagens e integrações suportadas

Language
support

Mais detalhes: https://www.synopsys.com/content/dam/synopsys/sig-assets/datasheets/interactive-application-security-

testing-datasheet.pdf
38 © 2021 Synopsys, Inc.
 Forrester – Estudo de caso
Empresa de serviços financeiros reduz risco e numero de pen-tests com Seeker

Comparação do custo e risco antes e depois de uma empresa do ramo financeiro implementar o Seeker

Pré-Seeker Pós-Seeker
4 dias 1.5 dia
Um Pen-test a cada 18 meses Um Pen-test a cada 18 meses

Centenas Nenhuma
de vulnerabilidades de alto risco vulnerabilidade de alto risco identificada
identificadas

Fonte: Amy DeMartine, Construct a Business Case for Interactive Application Security Testing,
Forrester, Nov. 3, 2017.

39 © 2020 Synopsys, Inc.

Code Dx
Priorização e correlação
de vulnerabilidades

40 © 2021 Synopsys, Inc.

Code Dx: Uma solução de AppSec para priorização e correlação de
vulnerabilidades que automatiza e rastreia o seu processo de AppSec

Execute Correlacione os Priorize Rastreie a Centralize a

testes resultados vulnerabilidades remediação visibilidade do risco
Execute Combine vulnerabilidades O que deve ser corrigido Rastreia todos os Painel unico para a
automaticamente as de mais de 75 ferramentas primeio? Remova os testes e atividades de visibilidade real da
ferramentas de diferentes ruidos utilizando o remediação situação das suas
AppSec Machine Learning aplicações

Integração transparente no Pipeline CI/CD

41 © 2021 Synopsys, Inc.

 75+ Ferramentas suportadas

Triage Assistant

Tinfoil
(Machine Learning)
Correlação

Seeker

OSS Security Tools

Pen Orchestration

Testing
42 © 2021 Synopsys, Inc. Tracking
eLearning
Treinamento online de
Desenvolvimento Seguro

43 © 2021 Synopsys, Inc.

 Synopsys eLearning
Cursos de desenvolvimento seguro

A Plataforma de eLearning da
Synopsys permite a definição
de currículo por cargo, equipe
ou projeto, com treinamento
adaptado para cada função no
SDLC

Lista completa de cursos

44 © 2021 Synopsys, Inc.

 Build Secure, High-Quality Software Faster

45 © 2021 Synopsys, Inc.