Поделиться
Solar appSreener расширил свой функционал по анализу кода за счет появления модуля анализа состава ПО
После появления модуля анализа состава ПО (Software Composition Analysis, SCA) Solar appScreener стал единственным на российском рынке решением, в котором доступны три ключевые виды анализа в едином интерфейсе - SAST, DAST и SCA, обеспечивающие комплексный контроль безопасной разработки приложений. Об этом CNews сообщили представители компании «РТК-Солар».
Новый модуль SCA позволяет ускорить выявление и устранение уязвимостей. Система самостоятельно обнаруживает все сторонние компоненты, используя крупнейшие базы уязвимостей, а также собственный реестр данных, который регулярно обновляется экспертами компании. Для минимизации количества ложных срабатываний используется собственная уникальная технология Fuzzy Logic Engine.
«Приложения и библиотеки с открытым исходным кодом за последний год стали одной из наиболее актуальных угроз информационной безопасности, - отметил Даниил Чернов, директор Центра Solar appScreener компании «РТК-Солар». - По данным Linux Foundation, от 70% до 90% современных приложений содержат ПО с открытым исходным кодом, и уязвимости в сторонних компонентах открывают перед злоумышленниками большие возможности. Достаточно вспомнить историю с обнаруженной уязвимостью в библиотеке Apache Log4j, которая используется в миллионах корпоративных приложений. Кроме того, участились случаи намеренного внедрения вредоносного кода в Open Source. Поэтому сегодня очень важно проверять на уязвимости не только собственный код, но и сторонние компоненты».
В обновленную версию продукта добавили поддержку классификации уязвимостей OWASP MASVS и обновили поддерживаемую версию PCI DSS с 3.2.1 до 4.0. Значительно расширена база правил поиска уязвимостей для Java и C#, а также добавлены новые паттерны поиска уязвимостей для целого ряда языков программирования. Solar appScreener поддерживает 36 языков. Сканер автоматически определяет язык, на котором написан код, а также может проверять программы, написанные сразу на нескольких языках.
Кроме того, внесен целый ряд изменений для повышения удобства работы пользователя с системой, например, при первом входе в систему теперь появляются интерактивные подсказки. Появление возможности управлять очередью сканирований позволяет при запуске анализа назначать приоритет сканирования и отслеживать очередь на новой странице в разделе «Проекты». Также упростили работу офицеров безопасности в компаниях, которые внедряют решение в процессы безопасной разработки, добавив возможность автоматически создавать задачи в Jira по результатам сканирования.
Изменение логики работы с пользователями протокола LDAP упрощает процесс контроля доступа к системе сотрудников, подключающихся по данному протоколу, а также отслеживает количество пользователей, которое допустимо в рамках имеющейся лицензии.
Широкие возможности Solar appScreener позволяют интегрировать его с репозиториями, средами разработки, системами отслеживания ошибок и сервисами CI/CD. Максимальная автоматизация и непрерывность процесса выявления и устранения уязвимостей сегодня являются необходимостью для компаний, которые занимаются разработкой ПО.
***
«РТК-Солар» обеспечивает кибербезопасность в организациях от малого бизнеса до федеральных органов власти. Ключевые направления деятельности — аутсорсинг ИБ, разработка собственных продуктов, комплексные проекты по кибербезопасности.
Компания предлагает сервисы коммерческого SOC — Solar JSOC, а также экосистему управляемых сервисов ИБ — Solar MSS. Линейка собственных продуктов включает DLP-решение Solar Dozor, шлюз веб-безопасности Solar webProxy, систему управления доступом Solar inRights, контроль привилегированных пользователей Solar SafeInspect, анализатор кода Solar appScreener, межсетевой экран нового поколения Solar NGFW и систему повышения эффективности труда Solar addVisor. Направление «Solar Интеграция» реализует масштабные проекты по созданию систем кибербезопасности, фокусируясь на защите территориально-распределенных объектов, центров обработки данных, а также объектов КИИ и АСУ ТП. Для повышения киберустойчивости всей России «РТК-Солар» развивает Национальный киберполигон, основным компонентом которого является платформа для практической отработки навыков защиты от киберугроз «Кибермир».
Штат компании — 1600+ специалистов. Имеются представительства в Москве, Санкт-Петербурге, Нижнем Новгороде, Самаре, Ростове-на-Дону, Томске, Хабаровске и Ижевске. Деятельность компании лицензирована ФСБ России, ФСТЭК России и Министерством обороны России.
Solar appScreener - комплексное решение для контроля безопасности приложений, сочетающее статический, динамический анализ и анализ состава ПО (SAST, DAST, SCA). Продукт сертифицирована ФСТЭК России и внесена в Единый реестр отечественного ПО.
Короткая ссылка
