Solar appScreener (до версии 3.0 — Solar inCode) — статический анализатор безопасности приложений. Его возможности позволяют эффективно выявлять уязвимости и недекларированные возможности (НДВ) и подсвечивать их в коде. Отличительная особенность Solar appScreener — статический анализ не только исходного кода, но и исполняемых файлов (бинарного кода) без файла debug info. Это обеспечивает более качественные и быстрые результаты, чем в случае использования динамических анализаторов приложений (DAST).
Поддерживается анализ приложений, написанных на 34 языках программирования или скомпилированных в одном из 9 различных форматов исполняемых файлов, в том числе для Google Android, Apple iOS и Apple macOS. Проверка кода мобильных приложений может осуществляться простым копированием в меню анализатора ссылки на них в магазинах Google Play или App Store.
Уязвимости и НДВ обнаруживаются с помощью более 10 методов анализа, в том числе: лексического, синтаксического, семантического, taint-анализа, распространения констант, распространения типов, анализа синонимов и анализа графов потока управления. Доступен выбор глубины анализа и отключение сложных проверок, а также инкрементальный анализ, при котором проверяется только изменившийся код. Технология анализа состава ПО (SCA) обнаруживает применение сторонних компонентов, таких как свободное ПО и готовый код из Интернета, и определяет их названия, версии, уязвимости и лицензирование.
Найденные уязвимости и НДВ графически подсвечиваются непосредственно в коде проанализированного приложения, в том числе оно было в виде исполняемых файлов (файл debug info для этого не нужен). Возможно сравнение результатов тестирования одного проекта с учетом изменений, стандартных при написании кода, и отправка уведомлений на электронную почту.
Для устранения найденных уязвимостей и НДВ нужно не только их обнаружить, но и грамотно описать правила, при которых они работают или закрываются. Solar appScreener дает детальные рекомендации по устранению уязвимостей и НДВ с описанием способов их эксплуатации, а также рекомендации по настройке межсетевого экрана уровня приложений (WAF).
Один из главных параметров анализаторов приложений — количество ложноположительных и ложноотрицательных срабатываний. Для этой цели в Solar appScreener применяется собственная технология — Fuzzy Logic Engine. Она задействует математический аппарат нечетких множеств и нечеткой логики и является технологическим ноу-хау компании «Ростелеком-Солар». Параметры работы фильтров Fuzzy Logic Engine определяются базой знаний, которая постоянно пополняется по результатам проведенных исследований. Офицер безопасности может самостоятельно работать с фильтрами для снижения числа ложных срабатываний и пропусков уязвимостей и НДВ.
Solar appScreener легко интегрируется с репозиториями Git и Subversion, VSC хостингами GitLab GitHub и Bitbucket, серверами CI/CD Jenkins, TeamCity, Azure DevOps Server 2019 (ранее — TFS CI), системой отслеживания ошибок Atlassian Jira и c платформой непрерывного анализа и измерения качества кода SonarQube, что помогает быстро анализировать исходный код и обеспечить безопасный жизненный цикл разработки ПО. Поддержка Microsoft Active Directory позволяет упростить управление правами доступа к Solar appScreener при большом числе разработчиков.
Для взаимодействия с другими системами и сервисами доступен встроенный открытый API.
Solar appScreener находит уязвимости и НДВ как в исходном коде приложения, так и в исполняемых файлах (бинарном коде), после чего дает подробные рекомендации для разработчиков и офицеров безопасности.
Основными преимуществами Solar appScreener являются возможность анализировать приложения без исходного кода, поддержка большого количества языков программирования, понятный и удобный интерфейс, формирование детальных отчетов для разработчиков и офицеров безопасности, а также возможности глубокой интеграции в процесс безопасной разработки (Secure SDLC).
Solar appScreener разработан в России с применением собственных запатентованных технологий, внесен в Единый реестр отечественного ПО (№ 6119), сертифицирован ФСТЭК России как программное средство контроля защищенности, соответствующее требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1» (Гостехкомиссия России, 1999) по 4 уровню контроля отсутствия НДВ и ТУ (сертификат соответствия № 4007).
Solar appScreener также станет отличным выбором для компаний, стремящихся выполнять требования различных стандартов безопасности. С его помощью можно сгенерировать отчет, сверстанный в соответствии с классификацией уязвимостей по версии PCI DSS, БДУ ФСТЭК России, OWASP Top 10 и Mobile Top 10, HIPAA или CWE/SANS Top 25, что упрощает обеспечение соответствия требованиям регуляторов.
A | B | |
---|---|---|
1 | ИТ ЭНИГМА | |
2 | Полный прайс-лист | |
3 | со скидками от 26.02.2024 | |
4 | ||
5 | Solar appScreener | |
6 |