Восемь модулей, которые закрывают все этапы безопасной разработки
Полный контроль зависимостей: SBOM, уязвимости, лицензии
Поиск уязвимостей и слабостей в исходном коде
Тестируем работающее приложение реалистичными атаками
Поиск уязвимостей и дефектов в APIC
No-code редактор для диаграмм угроз и деревьев атак
REST API и вебхуки для встройки в ваш пайплайн
Непрерывный мониторинг безопасности работающего проекта без остановки сервиса
Геркулес встраивается в ваш процесс разработки - от первого коммита до регулярных аудитов. Без сложных настроек и лишних переходов.
Лицензия Геркулес предоставляет классический набор инструментов для композиционного анализа, анализа исходного кода и фаззинг тестирования ReST API.
Хорошая отправная точка, подходит небольшим студиям и продуктовым командам, где нужна автоматизация AppSec..
Лицензия Геркулес Плюс предоставляет полный доступ ко всем дополнительным инструментам сетевого и динамического анализа, фазззингу и инструментам моделирования.
Подходит командам которым всегда нужно больше
Все виды анализа в одном месте: SAST, DAST, SCA и фаззинг API без сборки зоопарка open-source решений.
Простой интерфейс: одностраничный просмотр, группировка по критичности и подсветка кода.
Автоматизация для команд: запуск по расписанию, уведомления и интеграция с CI/CD.
Сравните бесплатную и платную версию платформы Геркулес и выберите формат, который подходит вашему контуру, команде и процессу разработки.
| Возможность | Геркулес0 ₽/мес | Геркулес Плюс17 499 ₽/мес |
|---|---|---|
Композиционный анализ (SCA) | ||
| Статистика зависимостей | Да | Да |
| Проверка лицензий | Да | Да |
| Анализ достижимости | Нет | Да |
| Анализ Версий | Нет | Да |
Анализ исходного кода (SAST) | ||
| Поиск уязвимостей и слабостей | Да | Да |
| Поиск секретов | Да | Да |
| Анализ потока данных | Нет | Да |
| Taint Analysis | Нет | Да |
| Call Graph анализ | Нет | Да |
| Анализ достижимости | Нет | Да |
Фаззинг API (FUZZ) | ||
| Анализ безопасности API | Да | Да |
| Автоматическая генерация тестов | Да | Да |
| Replay атаки | Да | Да |
| REST API (OpenAPI / Swagger) | Да | Да |
| gRPC (HTTP/2, Protobuf) | Нет | Да |
| GraphQL | Нет | Да |
| SOAP / XML-RPC | Нет | Да |
Сканирование сайтов и веб-приложений | ||
| Сканирование на OWASP Top 10 | Нет | Да |
| Сканирование на CWE Top 25 | Нет | Да |
| Поиск известных CVE | Нет | Да |
| Анализ форм и параметров URL | Нет | Да |
| Анализ заголовков безопасности (HSTS, CSP) | Нет | Да |
| Проверка SSL/TLS сертификатов | Нет | Да |
| Анализ Cookie (HttpOnly, Secure) | Нет | Да |
| SPA (React / Vue / Angular) | Нет | Да |
| Поиск скрытых директорий | Нет | Да |
| Анализ субдоменов | Нет | Да |
Моделирование угроз | ||
| Диаграммы потоков данных | Нет | Да |
| Библиотека угроз STRIDE | Нет | Да |
| Библиотека готовых стратегий | Нет | Да |
Интеграции | ||
| CI/CD интеграция | Да | Да |
| Трекеры задач | Да | Да |
| Уведомления | Да | Да |
Форматы отчетов | ||
| HTML | Да | Да |
| JSON | Да | Да |
| Да | Да | |
Поддерживаемые источники | ||
| GitHub / GitLab | Да | Да |
| Архив / Локальный проект | Да | Да |
| Bitbucket / Корпоративные репозитории | Нет | Да |
Поддержка пользователей | ||
| Выделеный инженер по безопасности | Нет | Да |
Несколько историй от пользователей платформы.
Индивидуальный разработчик
«С помощью платформы Геркулес за бесплатно нахожу проблемы в исходном коде, зависимостях и проблемах API, в отличии от платной лицензии приходится самостоятельно триажить CVE и размечать срабатывания»
Студия веб-разработки
«Купили лицензию на 1 день перед сдачей проекта, проанализировали проект инструментом Блендер сформировали отчет и отправили вместе с кодом заказчику. Вопросов к оценке защищенности не возникло»
Собрали ключевые ответы по Онлайн и Локальной версии.