Getting StartedНачало работы
Set up your account, understand how the platform is structured, and connect the tools your team already uses. Настройте аккаунт, разберитесь в структуре платформы и подключите инструменты, которыми уже пользуется ваша команда.
Setting Up Your AccountНастройка аккаунта
Every Nullify Network account starts with a single organisation owner. After you sign up, you land on an empty dashboard with no connected assets and no active engagements — the first step is to invite your team and confirm your organisation details. Каждый аккаунт Nullify Network начинается с одного владельца организации. После регистрации вы попадаете в пустой дашборд без подключённых активов и активных проектов — первый шаг — пригласить команду и подтвердить данные организации.
From Settings → Organisation, invite teammates by email. Each invite carries a role (Admin, Analyst, or Viewer — see User Management below) that determines what they can see and do. Invited users receive a magic-link email; there is no separate password step during onboarding. В разделе Настройки → Организация пригласите коллег по email. У каждого приглашения есть роль (Admin, Analyst или Viewer — см. Управление пользователями ниже), которая определяет доступные действия. Приглашённые получают письмо с magic-link — отдельный шаг с паролем при онбординге не требуется.
Two-factor authentication is available under Settings → Security and is strongly recommended for any account with Admin access, since Admins can add billing methods, connect new assets, and request pentests. Двухфакторная аутентификация доступна в Настройки → Безопасность и настоятельно рекомендуется для любого аккаунта с правами Admin, поскольку Admin может добавлять способы оплаты, подключать новые активы и заказывать пентесты.
Platform OverviewОбзор платформы
Dashboard access requires verification. Creating an account gives you a login, but full dashboard access — findings, reports, asset management — only unlocks once an engagement has been scoped and confirmed with your account manager. If no testing is currently planned or agreed, dashboard access stays restricted — this protects both you and Nullify from any ambiguity about what's authorized to be scanned or tested. See Engagement Terms below. Доступ к дашборду требует верификации. Регистрация аккаунта даёт вам логин, но полный доступ к дашборду — находки, отчёты, управление активами — открывается только после того, как проект согласован и подтверждён с вашим менеджером. Если тестирование не запланировано и не обговорено, доступ к дашборду остаётся ограниченным — это защищает и вас, и Nullify от любой неопределённости в том, что разрешено сканировать или тестировать. См. Условия работы ниже.
The platform is organised around three connected layers: AI Security (Scanner and Monitoring run continuously in the background), Testing Services (human-led pentests and Red Team engagements you request on demand), and Bug Bounty (an ongoing program run by external researchers). All three layers report into the same findings pipeline. Платформа построена вокруг трёх связанных слоёв: AI-безопасность (Scanner и Monitoring работают непрерывно в фоне), услуги тестирования (пентесты и Red Team проекты, которые вы заказываете вручную) и Bug Bounty (постоянная программа с внешними исследователями). Все три слоя пишут находки в один общий пайплайн.
The dashboard home screen shows a live security score, open findings by severity, active engagements, and mean time to remediation — a 30-day trend chart tracks whether your posture is improving or degrading. Главный экран дашборда показывает актуальный security score, открытые находки по критичности, активные проекты и среднее время устранения — график за 30 дней показывает, улучшается ли ваша защищённость или ухудшается.
Every finding, regardless of which layer produced it, carries the same fields: severity (CVSSv3), CWE classification, reproduction steps, and a remediation recommendation — so triage works the same way whether a bug came from the automated scanner or a human Red Team operator. Каждая находка, независимо от слоя-источника, содержит одинаковые поля: критичность (CVSSv3), классификацию CWE, шаги воспроизведения и рекомендацию по исправлению — поэтому триаж работает одинаково и для находок сканера, и для находок Red Team оператора.
User ManagementУправление пользователями
There are three built-in roles. Admin has full access: billing, asset management, inviting and removing users, and requesting new engagements. Analyst can triage and close findings, comment, and export reports, but cannot manage billing or invite users. Viewer has read-only access to findings and reports — a good fit for auditors or executives who need visibility without write access. Есть три встроенные роли. Admin — полный доступ: биллинг, управление активами, приглашение и удаление пользователей, заказ новых проектов. Analyst может обрабатывать и закрывать находки, комментировать и выгружать отчёты, но не управляет биллингом и не приглашает пользователей. Viewer — доступ только на чтение к находкам и отчётам — подходит для аудиторов или руководства, которым нужна видимость без прав на изменение.
Roles can be scoped per-asset for larger organisations — for example, a mobile team's Analysts can be restricted to findings on mobile-tagged assets only, without seeing the rest of the portfolio. Для крупных организаций роли можно ограничить по активам — например, Analyst мобильной команды может видеть только находки по активам с тегом mobile, не видя остальной портфель.
IntegrationsИнтеграции
Nullify Network connects to the tools your team already runs so findings don't sit unread in a separate dashboard. Native integrations include Slack and Microsoft Teams (real-time alert channels), Jira and Linear (two-way ticket sync for findings), and webhooks for anything else. Nullify Network подключается к инструментам, которыми уже пользуется ваша команда, чтобы находки не оставались непрочитанными в отдельном дашборде. Встроенные интеграции: Slack и Microsoft Teams (каналы алертов в реальном времени), Jira и Linear (двусторонняя синхронизация тикетов) и webhooks для всего остального.
Cloud connections (AWS, GCP, Azure) use read-only, least-privilege roles for scanning and monitoring — Nullify never requests write access to your infrastructure. A minimal IAM policy document is provided during setup and can be revoked at any time from Settings → Integrations. Облачные подключения (AWS, GCP, Azure) используют роли только для чтения с минимальными правами для сканирования и мониторинга — Nullify никогда не запрашивает права на запись в вашу инфраструктуру. Минимальный документ IAM-политики предоставляется при настройке и может быть отозван в любой момент в Настройки → Интеграции.
Managing FindingsУправление находками
Findings flow into a single triage queue, sortable by severity, asset, source (Scanner, Monitoring, Pentest, Red Team, Bug Bounty), and status. Opening a finding shows the full technical writeup: CVSSv3 vector, CWE, reproduction steps, evidence (screenshots or request/response pairs), and a suggested fix. Находки попадают в единую очередь триажа с сортировкой по критичности, активу, источнику (Scanner, Monitoring, Pentest, Red Team, Bug Bounty) и статусу. При открытии находки показывается полное техническое описание: CVSSv3-вектор, CWE, шаги воспроизведения, доказательства (скриншоты или пары запрос/ответ) и рекомендация по исправлению.
Each finding can be assigned to a team member, moved through Open → In Progress → Remediated → Verified, and linked to an external ticket. Once marked Remediated, engagements with a retest window (pentests, Red Team, bug bounty) automatically queue a verification pass. Каждую находку можно назначить участнику команды, провести по статусам Open → In Progress → Remediated → Verified и привязать к внешнему тикету. После пометки Remediated проекты с окном ретеста (пентесты, Red Team, bug bounty) автоматически ставят находку на верификацию.
Notifications & AlertsУведомления и алерты
Alert rules live under Settings → Notifications and can be filtered by severity, asset tag, and source. A typical setup routes Critical and High findings to a Slack channel in real time, while a daily digest email summarises everything else. Правила алертов настраиваются в Настройки → Уведомления и фильтруются по критичности, тегу актива и источнику. Типичная настройка — маршрутизация Critical и High находок в Slack-канал в реальном времени, а ежедневный дайджест на почту суммирует всё остальное.
Monitoring-specific alerts (certificate expiry, new exposed ports, cloud drift) can be routed to a separate channel from pentest and scanner findings, so infrastructure teams aren't paged for application-layer issues and vice versa. Алерты мониторинга (истечение сертификатов, новые открытые порты, дрейф конфигурации облака) можно направить в отдельный канал от находок пентеста и сканера — чтобы инфраструктурная команда не получала пейджи по проблемам уровня приложения и наоборот.
Engagement TermsУсловия работы
Automated services — Scanner and Monitoring — are self-serve once your account is verified: connect an asset and coverage starts immediately. Human-led services — Pentest, Red Team, launching a Bug Bounty program, Architecture Review, Threat Modeling, Secure Code Review — always go through a scoping call first. There is no self-serve "start testing now" button for these. Автоматические сервисы — Scanner и Monitoring — доступны в режиме самообслуживания после верификации аккаунта: подключите актив, и покрытие начинается немедленно. Услуги с участием людей — Pentest, Red Team, запуск программы Bug Bounty, ревью архитектуры, моделирование угроз, ревью кода — всегда проходят через звонок для определения скоупа. Кнопки «начать тестирование прямо сейчас» для них нет.
Before any human-led engagement begins, your account manager confirms in writing: the exact systems in scope, the testing window, rules of engagement, and escalation contacts. This protects you legally (see Governing Law & Jurisdiction) and ensures the right specialists are allocated to your engagement rather than a generic team. До начала любого проекта с участием людей менеджер письменно подтверждает: точные системы в скоупе, окно тестирования, правила взаимодействия и контакты для эскалации. Это защищает вас юридически (см. Применимое право и юрисдикция) и гарантирует, что на проект выделены нужные специалисты, а не случайная команда.
PricingЦены
There is no fixed price list, because cost depends entirely on the format and volume of work: the size of the attack surface, the access level provided (black-, grey-, or white-box), the number of testers required, and the timeline all move the price. Two engagements that look similar on paper can cost very differently depending on scope. Фиксированного прайс-листа нет, поскольку стоимость полностью зависит от формата и объёма работ: размер поверхности атаки, уровень доступа (black-, grey- или white-box), количество тестировщиков и сроки — всё это влияет на цену. Два похожих на бумаге проекта могут стоить совершенно по-разному в зависимости от скоупа.
Every quote is prepared individually after a scoping call, based on your specific environment and goals. To get a quote, request a scoping call from Dashboard → New Engagement or contact your account manager — you receive a fixed-price proposal before any work, and any payment, is confirmed. Каждая смета готовится индивидуально после звонка для определения скоупа, исходя из вашей конкретной среды и целей. Чтобы получить смету, запросите звонок в Dashboard → New Engagement или свяжитесь с вашим менеджером — вы получите предложение с фиксированной ценой до начала любых работ и любой оплаты.