Сервис «Инферит» для поиска уязвимостей в ПО

--> Дата: Дек 22, 2025 0

Компания «Инферит» (кластер «СФ Тех» ГК Softline) запустила бесплатный онлайн-сервис композиционного анализа ПО «СКАТмен». Он позволяет быстро проверить готовое ПО на известные уязвимости без загрузки исходного кода.

Изначально сервис создавался для внутренних задач «Инферит» по разработке безопасного ПО. Команде требовалось средство композиционного анализа (SCA), которое позволило бы выявлять уязвимости в составе зависимых компонентов ОС «МСВСфера». Как поясняют в «Инферит», в существующих решениях не хватало нужного функционала – многие из них были нацелены на анализ исходного кода, не проводили анализ БДУ ФСТЭК и не учитывали различие информации в разных базах данных уязвимостей. Поэтому в «Инферит» разработали собственный инструмент, решающий эти проблемы.

Новый сервис предназначен для исследователей ПО, сотрудников испытательных лабораторий, органов по сертификации СЗИ и вендоров, инженеров и специалистов по оценке безопасности компонентов. Благодаря функции анализа уже готового ПО сервис можно использовать на этапах сертификации, аттестации и тестирования безопасности.

«СКАТмен» выявляет уязвимости по данным российских и зарубежных баз: БДУ ФСТЭК, NIST, Debian-Security, RedHat. Внутренняя база данных уязвимостей обновляется ежедневно в ночное время, чтобы не мешать работе пользователей. Количество ложных срабатываний постоянно снижается за счет специальных алгоритмов.

Сервис помогает:

анализировать весь пакетный состав ОС, а не только основные запущенные службы;
заранее выявлять уязвимости в компонентах до их запуска в системе;
выполнять требования регуляторов к анализу уязвимостей в ПО на этапе его проектирования, разработки и эксплуатации;
проводить анализ уязвимостей с помощью БДУ ФСТЭК;
сокращать время анализа и последующих перепроверок;
вести проектную деятельность по выявлению и устранению уязвимостей;
готовить наглядные отчеты для руководства.

Так как сервис работает через веб-интерфейс, программу не требуется устанавливать в инфраструктуру пользователя. Для поиска уязвимостей достаточно либо вручную передать сервису список пакетов/программ и их версии, либо через Drag&Drop передать текстовый список ПО, либо загрузить ISO-образ/архив, содержащий ПО. До конца года разработчики «СКАТмен» планируют дополнить сервис инструкцией по проведению композиционного анализа зависимостей в исходном коде ПО.

Сейчас «СКАТмен» корректно обрабатывает rpm и deb-пакеты, поскольку нацелен на импортозамещение и анализ программ для российских ОС. В планах вендора – доработать функционал сервиса по поиску уязвимостей в ПО для Windows и iOS, что должно минимизировать количество ложных срабатываний, выдаваемых «СКАТмен» для такого вида ПО.

Сервис полностью разработан командой «Инферит». Из открытого ПО используется только модуль аутентификации, весь остальной функционал написан с нуля. Поэтому разработчики рассчитывают на обратную связь со стороны ИТ-сообщества, чтобы сделать из продукта надежное SCA-решение. Свои предложения по работе сервиса пользователи могут оставить через форму обратной связи на сайте «СКАТмен».

Анализ состава ПО (SCA)Выявление уязвимостей Инферит (ГК Softline)Разработка ПО