Новая версия анализатора кода Solar appScreener
Компания «Ростелеком-Солар» выпустила версию 3.4 анализатора защищенности приложений Solar appScreener. В ней усовершенствована система отчетности, реализованы более детальная верификация уязвимостей и поддержка языка программирования VB.NET Microsoft.
В Solar appScreener 3.4 переработаны навигация и конфигурация системы отчетности, а также само содержание отчетов. Последние теперь представляют собой не статичный перечень обнаруженных проблем и ошибок в коде, как было ранее, а динамический документ с кросс-ссылками на детальные описания обнаруженных уязвимостей. Таким образом, если специалист ИБ-службы не может предоставить разработчикам доступ в интерфейс анализатора, представленной в новом отчете информации будет достаточно для оперативного устранения выявленных уязвимостей.
С новой версией пользователи смогут выбирать, какую информацию по результатам анализа включить в отчет. Ранее отфильтровать уязвимости (по языкам программирования, с применением технологии Fuzzy Logic Engine, по наличию задачи в Jira и т.д.) можно было лишь в интерфейсе Solar appScreener; в отчет же загружалась вся полученная в результате сканирования информация об уязвимостях, без возможности фильтрации. Теперь фильтрацию можно использовать и при формировании отчетов – например, при работе с ложными срабатываниями выгрузить в отчет лишь уязвимости со степенью достоверности от 3 до 5 баллов по 5-балльной шкале.
Кроме того, теперь в отчет можно включить более подробную информацию о самом анализируемом проекте: историю сканирований, диаграммы со статистикой уязвимостей в разных разрезах, сравнение с предшествующим сканированием, комментарии к уязвимостям, диаграмму потока данных и др.
По запросу заказчиков разработчики реализовали в новой версии бо лее детальную систему верификации уязвимостей. В пользовательский интерфейс добавлены статусы верификации «Подтверждено», «Отклонено», «Не обработано» (ранее можно было отметить уязвимости лишь как false). Статусы автоматически сохраняются во всех последующих сессиях, что облегчает процедуру верификации уязвимостей в масштабных проектах, содержащих несколько миллионов строк кода.
В продолжение стратегии поддержки широкого спектра языков программирования в новой версии реализован анализ приложений, разработанных на VB.NET семейства .NET Microsoft. Этот язык часто используется для создания интерфейсов веб и десктоп-приложений. Теперь Solar appScreener поддерживает два наиболее используемых Microsoft языка разработки приложений – C # и VB.NET. Всего же анализатор на данный момент работает с 32 языками программирования.
Для улучшения качества анализа кода в новую версию были добавлены такие расширения файлов, как .bsp (язык ABAP), .pso (Cobol) и ряд других. Это, в частности, будет полезно крупным компаниям, использующим приложения для SAP, а также пользователям унаследованных систем, от которых по тем или иным причинам невозможно отказаться.