Обновленный Solar appScreener: анализ кода по ГОСТ 71207-2014
Группа компаний «Солар» выпустила новую версию платформы Solar appScreener, предназначенной для контроля безопасности приложений на уровне кода. В релизе 3.15.5 реализованы несколько обновлений, которые улучшают пользовательский опыт разработчиков и расширяют функционал модуля статического анализа кода (SAST). Теперь все найденные уязвимости классифицируются по требованиям ГОСТ 71207-2014, регулирующим требования к безопасной разработке.
В ГОСТ Р 71207–2024 введен термин «Критическая ошибка в программе» (п. 3.1.13.), эта ошибка может привести к нарушению безопасности обрабатываемой информации. В частности, классификация по ГОСТ включает такие категории, как ошибки непроверенного использования чувствительных данных, некорректное использование процедур безопасности и другие критические дефекты, которые могут привести к уязвимостям и нарушениям безопасности.
Новый функционал классификации уязвимостей по требованиям ГОСТ 71207 интегрирован в интерфейс Solar appScreener: достаточно запустить сканирование, и в отчете каждая уязвимость получит код и описание класса. Для каждого класса указываются рекомендации по снижению рисков, примерные сроки устранения и потенциальное влияние на уровень безопасности продукта. Таким образом разработчики могут определить степень критичности уязвимости и расставить приоритеты в ее устранении. Тип уязвимости можно проверить в подробных результатах и в отчете при выборе способа классификации «ГОСТ Р 71207–2024». Соответствие доступно для правил Java, Scala, Kotlin, Python, С/C++, Java Script,GO и C#.
Эксперты «Солар» также отмечают, что использование модуля статического анализа SAST позволит выстроить процесс разработки согласно национальным стандартам ИБ, внедрить единую терминологию для внешних и внутренних аудитов и сформировать прозрачную отчетность для заказчиков и регуляторов отрасли.
Solar appScreener включает несколько модулей, доступных в двух версиях продукта. В версии on-premise доступен полный функционал для комплексной разработки приложений на основе технологий статического, динамического анализа, анализа состава и цепочки поставок ПО (SAST, DAST, OSA). Комбинированный анализ SAST/OSA выявляет использование уязвимых функций сторонних компонентов в проекте, их источник и снижает количество ложных срабатываний.
Для небольших ИТ-компаний и команд разработки доступна специальная «облачная» версия, в которую входит SCA-модуль, позволяющий анализировать используемые open source-библиотеки и зависимости на наличие уязвимостей и снижать риск использования уязвимых компонентов в коде приложения. Также в модуль включен анализ лицензионных рисков, который отслеживает политики при использовании, информирует о критичности использования той или иной библиотеки. Дополнительный SCS-модуль позволяет оценить риски использования компонентов, в которых нет выявленных уязвимостей на текущий момент, и проанализировать каждый компонент по ряду параметров – от версионности и популярности до «поведения» авторов (публичные высказывания, повышающие риск появления недекларированных возможностей, НДВ).
Solar appScreener входит в Реестр российского ПО Минцифры России, поддерживает необходимые стандарты по обеспечению кибербезопасности, включая ГОСТ Р 56939-2016, ГОСТ Р 56939-2024, приказ ФСТЭК № 239.