Hexway Vampy ASPM (ASOC-платформа для безопасной разработки)

Основная статья: DevSecOps

2025: Представление Hexway ASOC 2025.10.1

Компания Hexway 10 ноября 2025 года представила релиз своего продукта Hexway ASOC 2025.10.1. Главное изменение — интеграция с LLM-сервисами (Large Language Models), что означает переход к интеллектуальному управлению безопасностью приложений.

Hexway ASOC теперь поддерживает работу как с публичными сервисами (ChatGPT, DeepSeek, GigaChat), так и с локальными моделями, развернутыми в инфраструктуре заказчика, что гарантирует полный контроль над данными.

Интеграция с LLM предоставляет несколько сценариев использования:

• Оценка ложных срабатываний: ИИ помогает определить, является ли найденная проблема реальной уязвимостью или false positive.
• Объяснение рисков: модель генерирует краткое и понятное описание сути уязвимости и уровня её угрозы для бизнеса.
• Анализ кода: LLM объясняет, какой именно участок кода является уязвимым и почему.
• Рекомендации по исправлению: система предлагает готовые варианты по рекомендации и улучшению кода.

Можно представить, сколько времени тратил аналитик на самостоятельный разбор, оценку, категоризацию уязвимостей, сверяя данные вручную. Теперь данные для анализа можно получить из нескольких LLM. Например, выбрать из выпадающего списка GigaChat для общей оценки, а затем локальную модель, и сравнить гипотезы. ИИ по запросу предоставляет предварительные результаты анализа за секунды.

Мы можем сказать, что представляем первый на рынке продукт класса ASOC/ASPM, который интегрируется как с публичными LLM-сервисами, так и с локальными. Но с этим релизом мы не хотим забрать чью-то работу, мы хотим помочь убрать рутину, — комментирует Владимир Козицын, директор по развитию бизнеса Hexway. — Если говорить про junior-специалиста, то раньше он мог потратить полдня, чтобы разобрать ложные срабатывания, а теперь прямо в интерфейсе ИИ дает ему готовый вывод: вот участок кода, вот почему это может быть критично, и вот как это исправить, а вот другой участок — это с 90%-вероятностью false positive. Конечно, он сможет принять этот совет, а может и нет.

Также в релиз вошли обновления, направленные на повышение эффективности и удобства использования:

• Улучшенная синхронизация с трекерами задач: возможность связывать несколько уязвимостей с одной задачей в Jira, Kaiten и других системах и редактировать её напрямую из интерфейса Hexway ASOC.
• Расширение экосистемы: добавлен парсинг результатов DAST-сканирования из Solar appScreener, что позволяет создать единую картину безопасности по результатам SAST, SCA и DAST в одном окне.
• Повышение производительности: обновленный механизм обработки событий обеспечивает более быстрый запуск процессов и исключает дублирование внутренних событий.
• Упрощение миграции: реализован удобный интерфейс для экспорта данных из DefectDojo, что ускоряет и упрощает переход на платформу Hexway ASOC.

Обновление доступно как новым пользователям, так и всем существующим клиентам, которые уже работают с предыдущими версиями платформы.