YAG Suite

Précision – Intelligence – Pertinence

Yag Suite est une suite logicielle qui outille le processus de diagnostique de vulnérabilité du code.

Les innovations apportées par Yagaan sont multiples et se répartissent sur toutes les étapes du processus, avec une forte valeur ajoutée sur la phase de qualification des alertes remontées.

Aide à la décision

Visualisation d'indicateurs clés: pertinences et risques des alertes, vulnérabilités les plus critiques, fonctionnalités qui ne respectent pas les exigences de sécurité, etc.

Plugin Eclipse

YAG Suite est intégré à Eclipse afin de vous assister vers un développement plus sécurisé.

Intégration continue

YAG Suite est intégrable à votre usine logicielle pour garantir une détection au plus tôt des alertes de sécurité.

YAG Insight

Intelligence

YAG Insight constitue l'intelligence de YAG Suite. Nous associons la précision de l'analyse statique du code aux techniques de machine learning pour produire un diagnostique à haute valeur ajoutée et centré sur votre contexte applicatif.

Vue de qualification des alertes.

Qualification des alertes

Vos applications sont complexes et les règles de détection d'un outil d'analyse statique peuvent ne pas en saisir toutes les subtilités (environnement de déploiement, configurations, frameworks, etc.). YAG Insight confronte les caractéristiques d'un code potentiellement vulnérable à une base de connaissance pour simplifier considérablement le traitement des alertes:

  • Évaluation de la pertinence de chaque vulnérabilité. Les alertes les moins pertinentes sont celles qui sont vraisemblablement des faux positifs dans votre contexte. Leur vérification n'est donc pas prioritaire.
  • Estimation de la criticité des vulnérabilités (métriques et score CVSS). Un score CVSS élevé implique des impacts forts au niveau de la confidentialité, de l'intégrité et/ou de la disponibilité de votre application. Les valeurs des métriques sont celles qui sont les plus probables dans le contexte d'une alerte.

Adaptation à votre contexte

YAG Insight a été conçu pour apporter une aide efficace dès sa première utilisation, et pour pouvoir s'adapter automatiquement en fonction du domaine métier et des retours utilisateurs.

Votre expertise permet d'affiner les résultats de l'outil selon les spécificités de votre contexte. Un simple retour de votre part sur la présence d'une fausse alerte affinera la pertinence des alertes portant sur des codes dont le comportement et/ou le contexte sont similaires.

Prise en compte du métier

Identifiez rapidement les fonctionnalités et ressources les plus vulnérables.

YAG Insight vous permet de modéliser les fonctionnalités, les réssources physiques ainsi que les exigences de sécurité de vos applications afin d'affiner la qualification et de simplifier l'analyse d'impact des alertes.

Intégration d'alertes externes

Profitez de l'intelligence de YAG Insight pour qualifier les vulnérabilités détectées par des outils tiers (eg., FindBugs, OWASP Zap, etc.). Vous pouvez ainsi adapter leurs analyses à votre contexte sans nécessiter de complexes configurations ou personnalisations des règles de détection.

YAG Scanner

Précision - Pertinence

YAG Scanner effectue une analyse complète de votre application pour y détecter des vulnérabilités potentielles.

Prise en compte des incertitudes

À la différence des autres outils d'analyse statique du code, les alertes détectées par YAG Scanner sont associées à un pourcentage de pertinence. Plus ce pourcentage est elevé, plus la pertinence de l'alerte est importante.

Le scanner impacte l'incertitude d'une information sur la pertinence d'une alerte. Vous identifiez ainsi rapidement les alertes prioritaires tout en ayant connaissance de vulnérabilités plus incertaines.

Le diagnostique d'une alerte vous expose clairement quels en sont les symptômes ainsi que leurs degrés d'incertitude. Le chemin entre l'origine de chaque symptôme et le code potentiellement vulnérable vous permet de comprendre finement le problème et de concevoir le correctif le plus approprié.

Diagnostique d'une alerte et de ses symptômes.
Edition d'une vulnérabilité.

Personnalisation du référentiel

Pour vous permettre de concevoir ou de personnaliser simplement des règles de détection, YAG Scanner modélise les vulnérabilités sous la forme d'un graphe de symptômes indépendants du langage de programmation. Ce graphe est éditable graphiquement et exprime, à haut niveau, la logique du problème.

La conception est largement simplifiée du fait que les interactions entre les différents symptômes sont calculées automatiquement par apprentissage sur simple validation des alertes par l'utilisateur.

Failles de conception

Les vulnérabilités d'une application ne se trouvent pas toujours uniquement dans le code mais dans la conception elle même de l'application.

YAG Scanner profite de ses capacités de modélisation pour détecter des vulnérabilités de conception telles qu'une mauvaise gestion de l'authentification ou des privilèges.

Précis

Le scanner repose sur de solides bases d'analyse syntaxique, sémantique, flôt de contrôle, flôt de données, etc. pour construire une représentation globale du code.

Les algorithmes utilisés (teintes de données, évaluation de constantes, etc.) permettent à YAG Scanner d'obtenir un excellent score de 93% au benchmark OWASP (contre une moyenne de 26% pour les outils commerciaux référencés).

Scalable

YAG Scanner est capable d'analyser des applications de plusieurs millions de lignes de code. En effet, le code analysé est enregistré dans une base de données et ne nécessite donc pas d'être intégralement présent en mémoire.

Performances de l'analyse du benchmark OWASP.

Rapide

YAG Scanner analyse votre code rapidement: 1000 lignes de code par seconde pour le benchmark OWASP.

De plus, YAG Scanner découple la phase de scan du source (indexation) de celle de la recherche de vulnérabilités (détection) pour une réactivité optimale.

Ainsi, comme les fichiers non modifiés ne sont pas scannés inutilement (analyse incrémentale), les analyses suivantes sont encore plus rapides: 2500 locs/s.

YAG View

Executive & Technique

Yag Views est l'interface de présentation des résultats et d'aide à la décision.

Une vue Executive permet d'avoir une vision globale sur les résultats de l'analyse de vulnérabilité ainsi qu'une interprétation métier des problèmes détectés.

Une vue Technique enrichit la vue Executive et permet de récapituler l'ensemble des vulnérabilités identifiées et leur qualification finale.

Tableau de bord exécutif.