Обновленный Solar appScreener с модулем корреляции SAST и DAST
Компания «РТК-Солар» представила обновление Solar appScreener, комплексного решения для контроля безопасности ПО и информационных систем. В версии 3.12 появилась возможность корреляции результатов статического анализа кода (SAST) с результатами динамического сканирования (DAST), что позволит снизить количество ложных срабатываний. Благодаря этому внимание пользователей будет сконцентрировано в первую очередь на подтвержденных уязвимостях и НДВ, устранение которых является задачей первого приоритета.
В Solar appScreener 3.12 в дополнение к статическому анализу кода (SAST) реализована возможность провести динамическое сканирование (DAST) приложения. При динамическом анализе уязвимости выявляются через эмуляцию внешних атак. По ответу от приложения система делает вывод, есть ли в нем уязвимости. При статическом анализе не происходит выполнения программы, а анализируется весь ее код. Преимущество метода – покрытие большего количества уязвимостей.
Для проверки приложения в версии 3.12 достаточно указать URL приложения и запустить сканирование. По результатам корреляции результатов двух методов анализа пользователь Solar appScreener получает единый отчет. В нем отражены уязвимости и НДВ, обнаруженные с помощью статического анализа кода, и отдельно выделены те из них, которые были подтверждены динамическим тестированием приложения. Отчет, как и прежде, содержит рекомендации по устранению выявленных ошибок и повышению безопасности тестируемого ПО.
Как поясняют в «РТК-Солар», ранее специалисты по безопасности ПО были вынуждены вручную сопоставлять результаты сканирования, проведенного с помощью отдельных SAST и DAST-решений. Разработав алгоритмы корреляции результатов двух методов анализа, компании удалось снизить количество ложных срабатываний и достичь более точных результатов поиска уязвимостей и НДВ. Это должно сократить время обработки результатов анализа уязвимостей, а значит, снизить нагрузку на специалистов.
В новой версии Solar appScreener также внесен ряд изменений для повышения удобства пользователей при работе с анализатором. В частности, в интерфейсе теперь отображается процесс загрузки файлов на анализ, что позволит избежать ошибок при загрузке больших проектов. Улучшена работа с группами уязвимостей: пользователь может выбрать любые уязвимости в списке и изменить статус/критичность или оставить комментарий для всей группы. Дополнительно оптимизирована работа с приватными репозиториями благодаря интеграции при помощи авторотационных токенов и SSH-ключей из интерфейса Solar appScreener.
Изменилась логика работы с шаблонами экспорта отчета. В системе появилась возможность создать глобальный шаблон, не привязанный к определенному проекту. Начиная с Solar appScreener 3.12 пользователи смогут запускать сканирование по расписанию и настраивать автоматическую отправку отчетов, указав адреса конкретных получателей.
Сейчас Solar appScreener поддерживает 36 языков программирования и 9 форматов исполняемых файлов. В новой версии добавлены новые паттерны поиска уязвимостей для поддерживаемых языков программирования, расширена база правил для Android, улучшен taint-анализ для Python и поддержка проектов на Java 17. Кроме того, добавлена возможность сканирования только по исходному коду приложения на Java и появилась поддержка фреймворка Symphony языка PHP.