Создано для команд AppSec · Привязано к Вашему аудиту

Обучение безопасному программированию,
которое Ваши инженеры не пропустят,
со встроенными доказательствами для аудита.

Инженерные команды анализируют продакшен-реалистичный код в своём стеке, находят уязвимость, выкатывают исправление — а доказательства соответствия требованиям собираются сами. PCI DSS 4.0, ISO 27001 и OWASP, привязанные к каждому заданию.

186
Классов уязвимостей
930
Ревью кода
67
Сценариев атак
15
Инженерных стеков
PCI DSS 4.0·ISO 27001·OWASP Top 10·EU CRA
Посмотреть, как это работает
Как это работает

Две фазы в каждом задании.

Фаза 1: найдите уязвимый блок в продакшен-коде. Фаза 2: выберите правильное исправление из четырёх правдоподобных кандидатов — а не «один очевидный ответ».

Фаза 1 — Найти
Фаза 1 — найдите уязвимый блок в продакшен-коде

930 ревью кода по 186 классам уязвимостей — каждое представляет собой продакшен-реалистичный фрагмент на языке, на котором пишет Ваша команда. Пять блоков-кандидатов, одна настоящая уязвимость.

Фаза 2 — Исправить
Фаза 2 — выберите правильное исправление из четырёх кандидатов

Умные дистракторы — каждое неверное исправление является реальной ошибкой AppSec (только экранирование, валидация регулярными выражениями, ORM без привязки параметров) с объяснением, почему оно не работает. Разработчики учатся отличать исправление от частичной мер защиты.

Пошаговые разборы атак

От разведки до эксплойта и исправления — шаг за шагом.

67 сценариев. 973 интерактивных шага. Каждый помещает инженера в симулированный браузер, терминал и перехватывающий прокси — провести разведку, доставить эксплойт, а затем закрыть пробел в коде. Один класс атаки, одна короткая сфокусированная сессия.

Сценарий перечисления аккаунтов LoveNest — 10 шагов, 14 минут
67
сценариев
973
интерактивных шагов
~14m
средний разбор
Написано в Вашем стеке

Не общий псевдокод. Ваши идиомы.

Каждый инженер выбирает свой стек при первом посещении. Каждое задание затем загружается в языке и фреймворке, которые он реально использует — f-строки Python, fmt.Sprintf в Go, интерполяция строк C#, PreparedStatement в Java — а не урезанный псевдокод, не соответствующий ничему в продакшене.

Бэкенд
  • JavaScript
  • TypeScript
  • C#
  • Java
  • Python
  • Go
  • PHP
Фронтенд
  • React TS · JS
  • Vue TS · JS
  • Angular TS · JS
Мобильные
  • Swift
  • Kotlin
15 целей по языкам и фреймворкам в бэкенде, фронтенде и мобильных — каждое задание отрисовано в идиоматичном коде для выбранного Вами стека.
Корпоративная платформа

Создано под то, как уже работают корпоративные команды безопасности.

SAML 2.0 с JIT-провижинингом, синхронизация жизненного цикла SCIM 2.0, SCORM 1.2/2004 для любой LMS и мультитенантная админ-плоскость с ролевой делегацией. Ничего из этого не доделано на коленке — всё работает с первого дня.

SAML 2.0 / OIDC
SSO с JIT-провижинингом
Okta, Azure AD, Google Workspace, OneLogin или любой IdP по SAML 2.0 / OIDC. Создание пользователя по JIT при первом входе — никакого ручного шага онбординга.
SCIM 2.0
Синхронизация жизненного цикла пользователей
Автоматический провижининг и депровижининг пользователей от Вашего IdP — никаких призрачных аккаунтов после ухода людей.
SCORM 1.2 / 2004
Работает внутри Вашей LMS
Запускается из Moodle, Cornerstone, SAP SuccessFactors, Docebo или любой SCORM-совместимой LMS. Завершение и закладки синхронизируются обратно через стандартный рантайм.
ПЛАТФОРМА → КОМПАНИЯ → ОРГ → КОМАНДА
Мультитенантная иерархия
Изолируйте данные и админ-доступ между компаниями, бизнес-юнитами и командами — с ролевой делегацией на каждом уровне.
НЕИЗМЕНЯЕМЫЙ СЛЕД
Журнал аудита
Каждый вход, назначение, завершение и действие администратора записываются с актором, ролью, IP и метаданными — доступны для запросов и экспортируются для QSA, SOC 2 и ISO-аудитов.
ЗАДАНИЯ И АНАЛИТИКА
Дедлайны, команды, пробелы в навыках
Назначайте по теме, фреймворку или сценарию атаки — пользователю, команде или всей организации. Отслеживайте выполнение, баллы и пробелы по командам из одного админ-дашборда.
Маппинг соответствия требованиям

Каждое задание, привязанное к фреймворку, по которому Вы отчитываетесь.

PCI DSS 4.0.1
§6.2.2 обучение безопасному программированию
Доказательства по каждому требованию: §6.2.2 обучение разработчиков, привязанное к категориям OWASP и кластерам CWE — готово к ревью QSA без археологии в таблицах.
ISO 27001:2022
Приложение A.8.28 безопасное программирование
Доказательства контроля безопасного программирования A.8.28 и обучения осведомлённости A.6.3, привязанные к выполнению по командам и покрытию CWE по темам.
EU CRA Приложение I
Требования secure-by-design
Существенные требования кибербезопасности для продуктов с цифровыми элементами — покрытие по командам, отслеживаемое по Приложению I (1) и (2).
OWASP TOP 10
Web · API · Mobile
Каждое задание помечено категориями OWASP Top 10 для Web (2021), API (2023) и Mobile (2024) — с указанием соответствующего CWE.

Каждое задание заранее помечено фреймворком, требованиям которого оно удовлетворяет — так что время аудита перестаёт быть пожарной тревогой и становится запросом.

Посмотрите, как это вписывается
в Ваш ритм аудита.

30 минут с нашей командой. Мы пройдёмся по админ-дашборду, маппингам PCI / ISO / OWASP и тому, как SSO и SCIM подключаются к Вашему IdP.

Изучить платформу