Solar appScreener 3.6 – тестирование на уязвимости по требованиям Банка России
Компания «Ростелеком-Солар» объявила о выходе новой версии своего анализатора защищенности приложений Solar appScreener 3.6. Система позволяет проводить тестирование ПО на уязвимости и НДВ для соответствия четвертому оценочному уровню доверия согласно требованиям положений Банка России.
Возможность тестирования приложений для соответствия четвертому оценочному уровню доверия (ОУД4), согласно пункту 7.6 национального стандарта РФ ГОСТ Р ИСО/МЭК 15408-3-2013 предусмотрена в новой версии по запросам российских клиентов. Такое тестирование актуально для заказчиков финансовой сферы, поскольку нормативные документы Банка России обязывают организации данной отрасли с 1 июля 2020 г. проводить анализ уязвимостей прикладного ПО, используемого в платежных и иных финансовых операциях. Теперь пользователям Solar appScreener доступен отчет о содержащихся в приложении уязвимостях и НДВ непосредственно в формате ОУД4.
Учитывая пожелания зарубежных заказчиков, разработчики также реализовали в версии 3.6 поддержку языка программирования Pascal. Этот язык, предшественник Delphi, лежит в основе разнообразных legacy-систем, активно используемых западными организациями для внутренних нужд. Как поясняют в «Ростелеком-Солар», в 90-х годах прошлого века варианты языка Pascal широко использовались для создания самого разного ПО, а сегодня производный язык Object Pascal применяется для разработки некоторых Windows-приложений. Теперь, с поддержкой Pascal, Solar appScreener может анализировать приложения на 34 языках программирования.
Важным шагом в развитии автоматизации сканирования кода на уязвимости стала более тесная интеграция Solar appScreener с системами хранения и управления версиями кода (репозиториями) GitLab, GitHub и Bitbucket. Интеграция позволяет анализатору самостоятельно отслеживать появление новой версии кода в репозитории, автоматически запускать анализ новых частей кода на уязвимости с возможностью последующей отправки результатов сканирования ответственному сотруднику. Ранее эта функциональность требовала ручной настройки, а начиная с версии 3.6 она доступна «из коробки». Отслеживание появления нового кода в репозитории теперь реализовано не через CI/CD-сервер, а непосредственно из репозитория через push- и tag-события. Это удобно для компаний, в которых не используются CI/CD-сервера или разработка ведется, минуя их.
Ряд доработок в новой версии направлен на повышение удобства и комфорта работы с системой. Так, в интерфейсе анализатора появилась опция создания пустых проектов без сканирований с возможностью предварительной настройки интеграции с репозиториями для проведения автоматизированного анализа кода в будущем. Эта функция актуальна, например, в тех случаях, когда разработчики не успевают подготовить код к завершению внедрения Solar appScreener в компании, а заказчик хотел бы начать отслеживание уязвимостей в приложении с более-менее полной версии.
Кроме того, в интерфейсе реализована возможность скачать журналы событий (логи). Эта информация полезна, когда при запуске сканирования была допущена ошибка и процесс анализа не выполнен корректно, но заказчик самостоятельно не может разобраться в причине. Теперь пользователь сможет за пару кликов выгрузить из системы необходимые лог-файлы, и специалисты технической поддержки Solar appScreener смогут устранить ошибку и помочь корректно запустить процесс.
Для крупных компаний, в которых уже используется мониторинг работоспособности систем с помощью инструментов мультиплатформенной аналитики Prometheus и интерактивной визуализации Grafana, в версии 3.6 реализована поддержка этих инструментов мониторинга. Эта функциональность востребована заказчиками, для которых важно иметь актуальную информацию о состоянии анализатора в конкретный момент времени: данные о наличии задержек в процессах или сбоев, загруженности и производительности системы и т.п.