КОНТАКТЫ

МЕНЮ

Cистемный интегратор

решений комплексной

информационной безопасности

(351) 734-95-00
Заказать обратный звонок

Solar appScreener

Solar appScreener (до версии 3.0 — Solar inCode) — статический анализатор безопасности приложений. Его возможности позволяют эффективно выявлять уязвимости и недекларированные возможности (НДВ) и подсвечивать их в коде. Отличительная особенность Solar appScreener — статический анализ не только исходного кода, но и исполняемых файлов (бинарного кода) без файла debug info. Это обеспечивает более качественные и быстрые результаты, чем в случае использования динамических анализаторов приложений (DAST).

Поддерживается анализ приложений, написанных на 34 языках программирования или скомпилированных в одном из 9 различных форматов исполняемых файлов, в том числе для Google Android, Apple iOS и Apple macOS. Проверка кода мобильных приложений может осуществляться простым копированием в меню анализатора ссылки на них в магазинах Google Play или App Store.

Уязвимости и НДВ обнаруживаются с помощью более 10 методов анализа, в том числе: лексического, синтаксического, семантического, taint-анализа, распространения констант, распространения типов, анализа синонимов и анализа графов потока управления. Доступен выбор глубины анализа и отключение сложных проверок, а также инкрементальный анализ, при котором проверяется только изменившийся код. Технология анализа состава ПО (SCA) обнаруживает применение сторонних компонентов, таких как свободное ПО и готовый код из Интернета, и определяет их названия, версии, уязвимости и лицензирование.

Найденные уязвимости и НДВ графически подсвечиваются непосредственно в коде проанализированного приложения, в том числе оно было в виде исполняемых файлов (файл debug info для этого не нужен). Возможно сравнение результатов тестирования одного проекта с учетом изменений, стандартных при написании кода, и отправка уведомлений на электронную почту.

Для устранения найденных уязвимостей и НДВ нужно не только их обнаружить, но и грамотно описать правила, при которых они работают или закрываются. Solar appScreener дает детальные рекомендации по устранению уязвимостей и НДВ с описанием способов их эксплуатации, а также рекомендации по настройке межсетевого экрана уровня приложений (WAF).

Один из главных параметров анализаторов приложений — количество ложноположительных и ложноотрицательных срабатываний. Для этой цели в Solar appScreener применяется собственная технология —  Fuzzy Logic Engine. Она задействует математический аппарат нечетких множеств и нечеткой логики и является технологическим ноу-хау компании «Ростелеком-Солар». Параметры работы фильтров Fuzzy Logic Engine определяются базой знаний, которая постоянно пополняется по результатам проведенных исследований. Офицер безопасности может самостоятельно работать с фильтрами для снижения числа ложных срабатываний и пропусков уязвимостей и НДВ. 

Solar appScreener легко интегрируется с репозиториями Git и Subversion, VSC хостингами GitLab GitHub и Bitbucket, серверами CI/CD Jenkins, TeamCity, Azure DevOps Server 2019 (ранее — TFS CI), системой отслеживания ошибок Atlassian Jira и c платформой непрерывного анализа и измерения качества кода SonarQube, что помогает быстро анализировать исходный код и обеспечить безопасный жизненный цикл разработки ПО. Поддержка Microsoft Active Directory позволяет упростить управление правами доступа к Solar appScreener при большом числе разработчиков.

Для взаимодействия с другими системами и сервисами доступен встроенный открытый API.

Solar appScreener находит уязвимости и НДВ как в исходном коде приложения, так и в исполняемых файлах (бинарном коде), после чего дает подробные рекомендации для разработчиков и офицеров безопасности.

  • Анализ исходного кода
    Solar appScreener может анализировать исходный код, написанный на 34 языках программирования, включая как популярные (Java, Scala, Python, PHP, C#, Swift, Ruby и др.), так и специализированные (1C, ABAP, Solidity, Apex, PL/SQL и др.) или устаревшие (Delphi, COBOL, Visual Basic 6.0).

  • Анализ исполняемых файлов
    Технологии декомпиляции и деобфускации бинарного кода приложений позволяют использовать Solar appScreener для анализа исполняемых файлов, в том числе для Google Android, Apple iOS и Apple macOS. Для проверки мобильных приложений достаточно скопировать в анализатор ссылку на соответствующую страницу в Google Play или App Store. Результаты анализа отображаются на основе восстановленного исходного кода.

  • Выявление уязвимостей
    Уязвимости выявляются на основе правил поиска после завершения всех процедур анализа и работы Fuzzy Logic Engine. Применение технологии SCA позволяет выявлять уязвимости не только в собственном коде, но и в компонентах на основе свободного ПО и сторонних библиотек.

  • Выявление недекларированных возможностей
    НДВ выявляются по наличию одной из характерных базовых конструкций: хардкодных учетных записей, скрытой сетевой активности, временных бомб и т. д. Наличие базовых конструкций НДВ может свидетельствовать о присутствии более сложной составной закладки.

  • Проверка унаследованного и заказного ПО
    Реализованные в Solar appScreener технологии SCA и анализа бинарного кода позволяют проверять на уязвимости и НДВ унаследованные приложения и заказные разработки, в том числе использующие сторонние компоненты (СПО, готовые коды из интернета, модули, библиотеки).

  • Сравнение результатов проверок
    С помощью Solar appScreener можно сравнивать результаты проведенных тестирований и строить различные графики, что позволяет удобно отслеживать динамику устранения или появления уязвимостей и НДВ, том числе по группам проектов. При этом учитываются изменения, характерные для процесса написания кода, а в рамках одного проекта отслеживаются сами уязвимости и НДВ, что дает возможность контролировать ход их устранения.

  • Построение отчетов
    Отчеты по уязвимостям и НДВ формируются автоматически, а их содержание выбирает пользователь. Результаты представляются в интерфейсе Solar appScreener либо выгружаются в формате PDF. Доступна выгрузка в соответствии с классификацией уязвимостей по версии PCI DSS, БДУ ФСТЭК России, OWASP Top 10 и Mobile Top 10, HIPAA или CWE/SANS Top 25, а также гибкая выгрузка отчетных данных через JSON.

  • Разграничение прав разработчиков
    Для повышения уровня информационной безопасности можно разграничить права доступа разработчиков к Solar appScreener. Поддержка Microsoft Active Directory позволяет упростить управление правами доступа при большом количестве разработчиков.

  • Подготовка рекомендаций для разработчиков
    Разработчики заинтересованы сдавать проекты максимально быстро и с минимальными замечаниями. Поэтому рекомендации для разработчиков содержат описания уязвимостей и НДВ, ссылки на содержащие их участки кода, а также конкретные советы по его изменению.

  • Подготовка рекомендаций для офицеров безопасности
    Офицерам безопасности необходима максимально полная информация о найденных уязвимостях и НДВ. Рекомендации для них содержат детальные описания найденных уязвимостей и НДВ, включая способы их реализации, а также рекомендации по настройке WAF от Imperva, ModSecurity или F5.

  • Работа с системами отслеживания ошибок
    В базовую версию Solar appScreener входит интеграция с Atlassian Jira. Это позволяет заводить в ней задачи по устранению найденных уязвимостей непосредственно из интерфейса Solar appScreener и отслеживать ход их выполнения. При необходимости можно реализовать поддержку любой другой системы отслеживания ошибок.

  • Интеграция в процесс разработки
    Solar appScreener можно связать с репозиториями Git и Subversion, VSC хостингами GitLab GitHub и Bitbucket, интегрированными средствами разработки Eclipse, Microsoft Visual Studio и Xcode, интеграция c платформой непрерывного анализа и измерения качества кода SonarQube, а также с серверами CI/CD Jenkins, Azure DevOps Server и TeamCity, что позволяет встроить его в процесс разработки и реализовать полноценный Secure SDLC. С помощью открытого API доступна интеграция с другими системами и сервисами.

Основными преимуществами Solar appScreener являются возможность анализировать приложения без исходного кода, поддержка большого количества языков программирования, понятный и удобный интерфейс, формирование детальных отчетов для разработчиков и офицеров безопасности, а также возможности глубокой интеграции в процесс безопасной разработки (Secure SDLC).

  • Статический анализ бинарного кода
    Уникальные технологии декомпиляции и деобфускации кода исполняемых файлов позволяют проверять приложения даже при отсутствии исходных кодов и debug info, например унаследованные приложения или заказные разработки, в том числе для Google Android и Apple iOS.

  • Анализ 34 языков программирования
    Большое число поддерживаемых языков позволяет анализировать почти все приложения, в том числе созданные на языке 1С, ABAP (SAP), Apex (Salesforce) COBOL или Solidity (язык для смарт-контрактов для платформы Ethereum). Язык приложения определяется автоматически. Возможен анализ приложений, написанных на нескольких языках.

  • 10+ методов статического анализа
    Для анализа приложений в Solar appScreener возможно совместное использование более 10 методов анализа, в том числе анализа потока выполнения и taint-анализа, что позволяет максимизировать выявление уязвимостей и НДВ в коде приложения.

  • Подробные рекомендации
    Результаты анализа кода приложений предоставляются разработчикам и службе ИБ в формате конкретных рекомендаций по устранению уязвимостей и НДВ. Так, рекомендации по настройке WAF позволяют блокировать уязвимости и НДВ на время исправления кода приложения.

  • Сложные правила поиска
    В подготовке правил поиска уязвимостей и НДВ для Solar appScreener участвуют квалифицированные специалисты «Ростелеком-Солар», что гарантирует их высокое качество и актуальность. Базы уязвимостей и НДВ можно обновлять как вручную, так и в автоматическом режиме.

  • Быстрый запуск сканирования
    Проверка запускается в несколько кликов и не требует долгой предварительной настройки. Для анализа приложений для Android и Apple iOS достаточно указать ссылку на них в магазинах приложений Google Play и App Store.

  • Современный графический интерфейс
    Удобный и современный интерфейс Solar appScreener обеспечивает быструю работу и наглядный результат анализа уязвимостей и НДВ. Сравнение результатов тестирования и работа с интегрированными системами доступны непосредственно из интерфейса.

  • Не требует опыта разработки
    Solar appScreener в первую очередь рассчитан на службу ИБ, а не на разработчиков — именно поэтому интерфейс отличается простотой и удобством, а сам анализ максимально автоматизирован. В результате с анализатором может работать офицер безопасности, не имеющий опыта разработки ПО.

  • Широкий охват и высокая скорость
    Статический анализ кода приложений охватывает наибольшее число возможных уязвимостей и НДВ, а также отличается высокой скоростью работы. Для завершения анализа не нужно ждать часы и дни — на обычное приложение достаточно 30-40 минут.

  • Низкий процент ложных срабатываний
    Для минимизации количества ложных срабатываний и пропущенных уязвимостей и НДВ в коде в Solar appScreener используется технология Fuzzy Logic Engine, которая задействует математический аппарат нечеткой логики и является технологическим ноу-хау компании «Ростелеком-Солар».

  • Легкая интеграция в SDLC
    Возможности интеграции с серверами CI/CD Jenkins, Azure DevOps Server 2019 и TeamCity, средами разработки Eclipse, Microsoft Visual Studio и Xcode, интеграция c платформой непрерывного анализа и измерения качества кода SonarQube, а также с системой отслеживания ошибок Atlassian Jira позволяют легко встроить Solar appScreener в процесс разработки, обеспечивая Secure SDLC.

  • On-premise и SaaS
    В отличие от многих конкурирующих решений, Solar appScreener можно развернуть как на собственных вычислительных мощностях организации, так и использовать его как услугу из облака «Ростелеком-Солар» по модели SaaS.

  • Отечественное ПО
    Solar appScreener разработан в России и внесен в Единый реестр отечественного ПО (№ 6119), что позволяет использовать его для импортозамещения зарубежных аналогов. Над документацией и интерфейсом продукта работали русскоязычные специалисты. Цены номинированы в рублях и не зависят от курсов валют.

  • Сертификат ФСТЭК России
    Solar appScreener сертифицирован ФСТЭК России как программное средство контроля защищенности и соответствует требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1» (Гостехкомиссия России, 1999) по 4-му уровню контроля отсутствия НДВ (сертификат соответствия № 4007).

Solar appScreener разработан в России с применением собственных запатентованных технологий, внесен в Единый реестр отечественного ПО (№ 6119), сертифицирован ФСТЭК России как программное средство контроля защищенности, соответствующее требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1» (Гостехкомиссия России, 1999) по 4 уровню контроля отсутствия НДВ и ТУ (сертификат соответствия № 4007).

Solar appScreener также станет отличным выбором для компаний, стремящихся выполнять требования различных стандартов безопасности. С его помощью можно сгенерировать отчет, сверстанный в соответствии с классификацией уязвимостей по версии PCI DSS, БДУ ФСТЭК России, OWASP Top 10 и Mobile Top 10, HIPAA или CWE/SANS Top 25, что упрощает обеспечение соответствия требованиям регуляторов.

Коммерческое предложение будет отправлено на Вашу почту после ввода данных
Скачать прайс

Поделиться: