Kondukto — платформа для управления приложенийной безопасностью (AppSec) и оркестрации результатов тестирования безопасности. Она предназначена для агрегирования данных от различных инструментов сканирования и тестирования, нормализации результатов, автоматизации рабочих процессов по обработке уязвимостей и предоставления метрик, способствующих работе команд DevSecOps и отделов информационной безопасности. Решение может интегрироваться с статическими и динамическими анализаторами, серверами SAST/DAST, инструментами для тестирования зависимостей и интерактивного тестирования приложений.
Исторических сведений о происхождении и эволюции Kondukto в открытых источниках может быть ограничено; если точные данные недоступны, описание концентрируется на типичных возможностях таких систем. В общем виде платформа выполняет функции центрального репозитория результатов сканирования, механизма корреляции и приоритизации уязвимостей, а также интерфейса для организации задач и отслеживания устранения дефектов в жизненном цикле разработки. Конфигурация и автоматизация рабочих процессов позволяют связывать обнаруженные дефекты с тикет-системами и pipeline CI/CD.
- Агрегация данных: сбор и нормализация результатов из разных сканеров и инструментов тестирования безопасности.
- Корреляция и дедупликация: объединение повторяющихся или связанных обнаружений для сокращения шума и упрощения анализа.
- Приоритизация уязвимостей: оценка риска на основе критичности, эксплоитабилити и контекста приложения.
- Автоматизация рабочих процессов: маршрутизация, создание задач и уведомлений, интеграция с системами баг-трекинга и CI/CD.
- Отчётность и метрики: сбор показателей по устранению дефектов, трендам уязвимостей и эффективности процессов безопасности.
- Управление жизненным циклом уязвимостей: отслеживание статусов, назначение ответственных и контроль прогресса исправлений.
- Интеграции: подключение к внешним инструментам безопасности, системам контроля версий и платформам для управления проектами.
- Контекстный анализ: предоставление дополнительной информации о затронутых компонентах и потенциальном воздействии на бизнес-процессы.