Экспериментальный анализ уязвимостей в Solar appScreener
Компания «Ростелеком-Солар» объявила о выходе новой версии анализатора кода Solar appScreener 3.8 с функциональностью экспериментального анализа, с которой пользователи могут опробовать в действии новейшие возможности обнаружения уязвимостей в коде, находящиеся в проработке у разработчиков системы. Кроме того, расширена поддержка языков программирования за счет анализа приложений на LotusScript, а в интерфейсе анализатора появился новый – информационный – уровень критичности уязвимостей.
Как поясняют в «Ростелеком-Солар», экспериментальный режим анализа приложений, написанных на языках Java, Scala и Kotlin, был добавлен в Solar appScreener версии 3.8 для максимально быстрой доставки технологических инноваций пользователям. В его основе лежит сложный математический алгоритм, позволяющий увеличить точность и количество получаемых результатов при сканировании кода. Чтобы активировать эту функцию при анализе, необходимо выбрать соответствующий параметр в интерфейсе. При этом клиентам гарантируется сохранение стабильности функционирования системы: если экспериментальный режим анализа пользователю не нужен, он может продолжать работать в прежнем режиме.
К набору языков программирования в новой версии добавлен объектно-ориентированный язык LotusScript, на базе которого функционируют многие системы IBM и HCL. Этот язык широко применяется в разработке в Европе и США для создания приложений семейства Lotus – систем автоматизации бизнес-процессов и групповой деятельности в компаниях. Поддержка LotusScript реализована для расширения горизонтов развития продукта на международных рынках.
Значимым изменением версии в компании называют появление в системе классификации уязвимостей информационного уровня критичности. Параметр является показателем некачественного кода, который пока не является уязвимостью, но в перспективе, в случае его модификации, в приложении могут образоваться бреши. В более ранних версиях системы информацию об этом можно было найти в разделе «Уязвимости с низким уровнем критичности». Начиная с Solar appScreener 3.8 данные вынесены в отдельный информационный блок и больше не влияют на общий рейтинг безопасности приложения.
У пользователей новой версии появилась возможность самостоятельно создавать в интерфейсе системы карточки с правилами поиска уязвимостей. Предполагается, что новая функциональность будет особенно востребована компаниями, которые внедрили у себя процесс безопасной разработки на базе Solar appScreener. Например, с помощью собственных правил можно обнаруживать в коде разрабатываемых приложений признаки, указывающие на возможность технического фрода в системе. Теперь пользователь может самостоятельно создать карточку с описанием, примерами и рекомендациями по устранению уязвимости, а затем добавить собственные паттерны поиска в формате XML. При этом заданные в системе правила отныне будут недоступны для редактирования: ранее измененные системные правила автоматически преобразуются в пользовательские.
Для соответствия продукта регуляторным требованиям отдельных международных юрисдикций добавлена возможность просмотра пользовательского соглашения (EULA) в любой момент, а не только при первом входе в систему.