AppSecOne
AppSecOne - Tableau de bord de posture de sécurité
Sommes-nous prêts pour le release ? Un tableau de bord, une réponse claire.
Outil développeur
À propos
AppSecOne est un tableau de bord de sécurité applicative d’entreprise qui agrège les données de vulnérabilités depuis Fortify SSC, évalue la préparation au release via un moteur de politiques déterministe et présente les résultats dans un tableau de bord web en temps réel avec accès API complet. Les équipes sécurité, les responsables d’ingénierie et les coordinateurs de releases l’utilisent pour répondre aux questions critiques à chaque sprint : pouvons-nous livrer ce release, quelle est notre posture de sécurité sur l’ensemble du portfolio, progressons-nous ou régressons-nous, quelles équipes nécessitent une attention, qu’avons-nous dérogé et pourquoi. Se synchronise avec Fortify SSC à un intervalle configurable, stocke un modèle de lecture local en SQLite et sert un tableau de bord rendu côté serveur via FastAPI et Jinja2.
Fonctionnalités clés
Moteur de politiques déterministe
Évaluation par fonctions pures avec seuils configurables par sévérité - maximum critique, élevé, moyen. Limites d’âge des findings, profils de politiques nommés et règles d’acceptation des risques.
Intégration Fortify SSC
Synchronisation périodique et à la demande avec Fortify SSC. Pagination automatique, retry avec backoff exponentiel, synchronisation concurrente pour jusqu’à 5 projets et resynchronisation complète toutes les 24 heures.
Analyse de tendances
Snapshots agrégés quotidiens pour l’analyse historique. Classification de direction - en amélioration, stable ou en dégradation - avec seuil configurable de 5 % et plage de 7 à 365 jours.
Gestion des dérogations
Créez, révoquez et suivez les dérogations de sécurité avec dates d’expiration, workflows d’approbation et audit trail complet. Les dérogations affectent l’évaluation des politiques de manière transparente.
Explorateur de findings
Tableau filtrable, triable et paginé de tous les findings de l’ensemble du portfolio. Badges de sévérité, indicateurs d’âge et export en CSV ou JSON.
Vue détaillée du repository
Exploration approfondie de chaque repository - tableau des findings, évaluation des politiques avec panneaux de blocage, barre de sévérité empilée et graphique de tendance historique.
Assistant de configuration guidé
Assistant en quatre étapes : test de connexion Fortify, découverte des projets, mappage des repositories et configuration des politiques. Opérationnel en quelques minutes.
Streaming SSE en temps réel
Server-Sent Events pour le suivi en direct de la synchronisation. Visualisez le statut repository par repository pendant que les données circulent de Fortify SSC vers la base de données locale.
Moteur de politiques déterministe
Évaluation par fonctions pures avec seuils configurables par sévérité - maximum critique, élevé, moyen. Limites d’âge des findings, profils de politiques nommés et règles d’acceptation des risques.
Intégration Fortify SSC
Synchronisation périodique et à la demande avec Fortify SSC. Pagination automatique, retry avec backoff exponentiel, synchronisation concurrente pour jusqu’à 5 projets et resynchronisation complète toutes les 24 heures.
Analyse de tendances
Snapshots agrégés quotidiens pour l’analyse historique. Classification de direction - en amélioration, stable ou en dégradation - avec seuil configurable de 5 % et plage de 7 à 365 jours.
Gestion des dérogations
Créez, révoquez et suivez les dérogations de sécurité avec dates d’expiration, workflows d’approbation et audit trail complet. Les dérogations affectent l’évaluation des politiques de manière transparente.
Explorateur de findings
Tableau filtrable, triable et paginé de tous les findings de l’ensemble du portfolio. Badges de sévérité, indicateurs d’âge et export en CSV ou JSON.
Vue détaillée du repository
Exploration approfondie de chaque repository - tableau des findings, évaluation des politiques avec panneaux de blocage, barre de sévérité empilée et graphique de tendance historique.
Assistant de configuration guidé
Assistant en quatre étapes : test de connexion Fortify, découverte des projets, mappage des repositories et configuration des politiques. Opérationnel en quelques minutes.
Streaming SSE en temps réel
Server-Sent Events pour le suivi en direct de la synchronisation. Visualisez le statut repository par repository pendant que les données circulent de Fortify SSC vers la base de données locale.
Confidentialité et sécurité
Vos données restent sur votre appareil. Toujours.
