Модуль анализа состава ПО в Solar appSreener
Компания «РТК-Солар» анонсировала расширение функционала для анализа кода в решении Solar appScreener за счет появления модуля анализа состава ПО (Software Composition Analysis, SCA). Теперь в Solar appScreener в едином интерфейсе доступны три ключевых вида анализа – SAST, DAST и SCA, обеспечивающие комплексный контроль безопасной разработки приложений.
Новый модуль SCA ускоряет выявление и устранение уязвимостей. Система самостоятельно обнаруживает все сторонние компоненты, используя крупнейшие базы уязвимостей, а также собственный реестр данных, который регулярно обновляется. Для минимизации количества ложных срабатываний используется собственная технология Fuzzy Logic Engine.
В обновленную версию продукта добавлена поддержка классификации уязвимостей OWASP MASVS, поддерживаемая версия PCI DSS обновлена с 3.2.1 до 4.0. Значительно расширена база правил поиска уязвимостей для Java и C#, добавлены новые паттерны поиска уязвимостей для целого ряда языков программирования. Solar appScreener поддерживает 36 языков; сканер автоматически определяет язык, на котором написан код, а также может проверять программы, написанные сразу на нескольких языках.
Кроме того, внесен целый ряд изменений для повышения удобства работы с системой, например, при первом входе в систему теперь появляются интерактивные подсказки. Возможность управлять очередью сканирований позволяет при запуске анализа назначать приоритет сканирования и отслеживать очередь на новой странице в разделе «Проекты». Упростилась также работа офицеров безопасности, которые внедряют решение в процессы безопасной разработки, за счет возможности автоматически создавать задачи в Jira по результатам сканирования.
Изменение логики работы с пользователями протокола LDAP упрощает процесс контроля доступа к системе сотрудников, подключающихся по данному протоколу, а также отслеживает количество пользователей, которое допустимо в рамках имеющейся лицензии.
Решение Solar appScreener можно интегрировать с репозиториями, средами разработки, системами отслеживания ошибок и сервисами CI/CD.