Новая версия Solar appScreener
ГК «Солар» сообщила о выходе новой версии решения для контроля безопасности приложений – Solar appScreener 3.14.9. Ключевые доработки этой версии связаны с качественными изменениями в модуле для анализа сторонних компонентов SCA (Software Composition Analysis), снижением числа ложных срабатываний и интеграцией с решениями класса ASOC.
В версии 3.14.9 появился комбинированный анализ SCA и SAST для языков Java, Python, JavaScript, Go, C#, список будет расширяться. Он позволяет не только обнаруживать уязвимости в сторонних библиотеках, но и визуализирует трассу вызовов этих библиотек в коде. Это помогает определить, какие из этих уязвимостей реальные, и сэкономить время разработчиков на их верификацию.
В обновленном Solar appScreener модуль SCA обнаруживает все сторонние компоненты, используя собственную базу уязвимостей, которую регулярно обновляют эксперты ГК «Солар». Для минимизации количества ложных срабатываний применяется собственная технология Fuzzy Logic Engine, которая позволяет приоритизировать выявленные уязвимости на основе рейтинга EPSS.
Появилось больше полезной информации об уязвимых компонентах. Теперь пользователи получают сведения об уязвимых версиях библиотек, ссылки на полезные ресурсы и расширенный маппинг с учетом отечественных стандартов классификации уязвимостей. Кроме того, добавлено дерево зависимостей – интерактивный граф, наглядно демонстрирующий структуру компонентов в проекте.
Как поясняют в ГК «Солар», поскольку открытый исходный код в равной степени доступен всем, включая злоумышленников, это создает серьезный риск целенаправленного внедрения уязвимостей в библиотеки open source. Таким образом, сегодня важно проверять на наличие уязвимостей не только собственный код, но и сторонние компоненты.
Другое нововведение версии 3.14.9 – объединение всех технологий анализа сторонних компонентов (SCA, SCS, анализ лицензионных рисков, комбинированный анализ SAST и SCA) в единый модуль OSA (Open Source Analysis). Модуль OSA в Solar appScreener представляет собой комплекс инструментов нового уровня, сочетающий в себе зрелые технологии и собственную базу уязвимостей. Теперь все технологии анализа сторонних компонентов можно найти в единой вкладке в интерфейсе, а запуск сканирований будет более удобным и прозрачным.
Появилась возможность интеграции решений для оркестрации безопасности приложений (ASOC) – DefectDojo и AppSecHub. Эти платформы объединяют результаты нескольких анализаторов в единый интерфейс, обеспечивая командам разработчиков и специалистам по безопасности полную картину состояния безопасности приложений. Благодаря этим инструментам пользователи Solar appScreener могут работать с результатами всех типов анализа в одном интерфейсе.
Обновленная версия продукта поддерживает стандарты OWASP ASVS, OWASP MASVS, CWE/SANS Top 25 2023. Теперь пользователи могут формировать отчеты в соответствии с этими международными классификациями. Реализована также возможность сборки Java-проектов из исходного кода собственными инструментами, что упрощает сборку кода для более глубокого анализа. Это повышает качество анализа и дает большую гибкость при автоматизации процесса безопасной разработки.
В дополнение к этим разработкам в новой версии реализован ряд новшеств для повышения удобства работы пользователя с системой. Например, появилась новая системная роль «Модератор» и шаблоны ролей. В настройки внесена функция ручного удаления проектов и сканирований. Значительно улучшен этап предобработки кода для статического анализа, который оптимизирует загружаемые пользователем файлы и преобразует их в удобный для чтения формат. Это позволяет устранить проблемы с анализом, которые могут возникать из-за загрузки больших файлов. Предобработка помогает сделать код понятным и облегчает выявление проблем. Также в версии 3.14.9 реализовали поддержку плагинов Jenkins, TeamCity, Azure и CLT для модулей DAST и OSA.
Solar appScreener автоматически определяет язык, на котором написан код, а также может проверять программы, написанные сразу на нескольких языках. Обновленная версия пополнилась новыми правилами поиска уязвимостей для 15 языков программирования, в том числе 1C, PHP, Python и др.