Анализ безопасности цепочки поставок ПО в Solar appScreener
ГК Solar объявила, что добавила модуль анализа безопасности цепочки поставок ПО (Supply Chain Security, SCS) в комплексное решение Solar appScreener, что позволяет обеспечить проактивную защиту кода.
По оценке регуляторов и экспертов ИБ, отмечают в компании, в настоящее время атаки на цепочку поставок являются одним из самых популярных векторов атак. Новый модуль SCS позволяет проводить анализ компонентов безопасности на всех этапах пути, по которому ПО попадает в организацию, от момента их создания или покупки обновлений до этапа использования. Специалисты ГК «Солар» с применением инструментов ИИ анализируют данные из открытых источников и прогнозируют риски, связанные с авторством сторонних компонентов.
Анализ supply chain позволяет проверять уровень доверия к используемым внешним компонентам на основе восьми метрик (репутация автора, активность сообщества, внимание к безопасности и др.), а также выдавать на основе этих метрик рейтинг безопасности используемой библиотеки.
Как поясняют в ГК «Солар», обычно анализ сторонних компонентов специалистами по ИБ проводится вручную или с применением инструментов анализа состава сторонних компонентов (Software Composition Analysis, SCA). Внедрение метода SCS существенно оптимизирует данный процесс. Применение этой технологии в составе комплексного продукта Solar appScreener позволяет проводить сканирование SBOM-файлов и получать общий рейтинг доверия к компонентам. На основе этого рейтинга принимается решение о запрете или разрешении использования компонента в разработке.
Решение Solar appScreener объединяет в едином интерфейсе три ключевых вида анализа: статический (SAST), динамический (DAST) и анализ состава ПО (SCA), обеспечивающие комплексный контроль безопасной разработки приложений. В обновленной версии продукта модуль SCA дополнили анализом лицензионных рисков, позволяющим не только узнать, какие уязвимости есть в сторонней библиотеке, но и понять, можно ли ее использовать в соответствии с ее лицензионной политикой.
В модуль SAST добавлено более 100 новых правил поиска уязвимостей, а также статистика по классификациям безопасности. Теперь информация о нарушенных пунктах международных и отечественных стандартов представлена в наглядном формате на странице «Обзор» проведенного сканирования. В модуле DAST появились новый метод авторизации через заголовки и возможность выбора режима сканирования, позволяющая настраивать агрессивность атак в один клик в зависимости от целей сканирования.
Кроме того, Solar appScreener можно развернуть как на собственных вычислительных мощностях организации, так и использовать его из облака по модели SaaS.