Maîtrisez le risque cyber de vos applications avec la YAG-Suite

La YAG-Suite est un outil de détection intelligente de vulnérabilités dans le code source des applications logicielles. En contournant les verrous technologiques récurrents de l'analyse statique par l'intégration du machine learning, la technologie YAGAAN détecte au plus tôt les vulnérabilités les plus exploitées, vous aide à les diagnostiquer, à mieux cibler leurs corrections et à vous prémunir contre le risque de fuites de données RGPD.

Scan Server / Scan centralisé et vue synthétique

Le serveur de scan (SaaS ou On-premise) permet de ne pas consommer de ressources sur les postes des développeurs. Il intègre YAG-Scanner ainsi qu'un ensemble d'autres outils SAST Open Source préconfigurés.

Langages supportés

Utilisation simple au cœur du processus de devéloppement

  • Scan via une CLI, maven, drag&drop, etc.
  • Configuration simple et centralisée
  • Consultations des vulnérabilités via le dashboard/ IDEs supportées
  • API RestFull

Intégration aux IDE

Lancement des scans en intégration continue

Vue de synthèse de l’état de sécurité de votre parc d’applications

  • Evaluation du risque de chaque application (note entre 0 et 100)
  • Variations du niveau de risque par rapport au scan précédent
  • Métriques sur le nombre d'alertes et la volumétrie des applications

Vue globale de l’état de sécurité de chaque application

  • Répartition des vulnérabilités selon le Top10 de l'OWASP
  • Accès aux détails des vulnérabilités détectées
  • Métriques sur l'application
  • Propositions générales de correction
  • Détection des dépendances vulnérables

Audit Center / Environnement dédié à la qualification des vulnérabilités et à l'analyse fine des applications scannées

Audit Center est le point d'entrée privilégié lors de l'analyse des résultats d'un scan. Cet outil offre des capacités d’analyse approfondie des vulnérabilités détectées et l’accès aux fonctionnalités avancées de l’innovation YAGAAN. 

Langages supportés
Diagnostic d'une vulnérabilité et de ses causes.

Diagnostic détaillé

Les vulnérabilités détectées par le YAG-Scanner sont associées à un diagnostic dynamique et pédagogique permettant de comprendre les causes (origine et chemin de données jusqu'au code vunérable) de l'alerte et de monter en compétence sur la sécurité applicative.

Aide à la remédiation

Les vulnérabilités détectées par le YAG-Scanner sont associées à des propositions de correction en se basant sur des exemples pris dans le code source de l'application analysée.

L'outil identifie les emplacements de correction les plus intéressants, c'est-à-dire ceux qui maximise le nombre de vulnérabilités corrigées.

Identification des points de correction les plus intéressants.
Proposition de correctifs et exemples issus du code de l'application.
Qualification du risque et de la pertinence des alertes.

Indicateur de pertinence des alertes

Evaluation, pour chaque alerte, de la probabilité qu'elle soit un vrai ou un faux positif.

Score CVSS

Niveau de criticité individualisé de chaque alerte, dans son contexte applicatif

Code Mining/ Cartographie

Identification et localisation des données et mécanismes liés à la sécurité de l’application

Recherches des données de mot de passe dans WebGoat.
Cartographie des données de mot de passe dans WebGoat.

Vérification d'exigences de sécurité

Il est possible d'exprimer des exigences de sécurité en terme de confidentialité, intégrité ou disponibilité de l'application. Ces exigences sont associées à des fonctionnalités de l'application et vérifiées en fonction des vulnérabilités détectées.

YAG-Scanner / Détection intelligente de vulnérabilités

Le moteur de scan de la YAG-Suite associe la précision de l'analyse statique du code aux techniques de machine learning pour produire un diagnostic à haute valeur ajoutée et centré sur votre contexte applicatif.

Langages supportés

Détection des vulnérabilités les plus répandues

Plus de 30 vulnérabilités par langage sont détectées par notre scanner (Exposition de données sensibles, Injection SQL, XSS, CSRF, Command Injection, Path Traversal, etc.). Celles-ci couvrent notamment le Top10 de l'OWASP.

Les vulnérabilités détectées sont associées à un diagnostic dynamique qui peut être consulté via l'Audit Center

Qualification contextuelle des vulnérabilités

La YAG-Suite apprend de vos retours concernant les vrai/faux positifs ainsi que sur l'évaluation du score CVSS. Ainsi, les analyses s'adaptent à votre contexte applicatif pour vous fournir un plan d'action pertinent sur les vulnérabilités à corriger en priorité.

La connaissance acquise est centralisée sur un serveur partagé par tous les utilisateurs du Scan Server

La qualification des alertes est faite sur les vulnérabilités détectées par le YAG-Scanner mais également sur celles détectées par les outils SAST tiers intégrés au Scan Server.

Un outil ouvert à la personnalisation

Les fonctionnalités de personnalisation vous permettent de personnaliser les règles de détection ou d’en ajouter de nouvelles, via une interface intuitive.

Les différents modes de personnalisation du référentiel analysé ainsi que des wizards graphiques de modélisation, vous permettent d'affiner les analyses sans nécessiter une expertise en analyse de code.

Exemple de modélisation d'une vulnérabilité.