Solar appScreener: выявление уязвимостей в ПО open source

Компания «Ростелеком-Солар» объявила о том, что ее статический анализатор кода Solar appScreener выявляет уязвимости и недекларированные возможности (НДВ) в open source-проектах – свободно распространяемых программах, а также компонентах и библиотеках, которые используют разработчики для создания своих проектов.

По итогам сканирования инструмент SAST-анализа выделяет элементы кода с уязвимостями и предлагает рекомендации по их устранению. Для снижения числа ложных срабатываний (false positive) и пропуска уязвимостей (false negative) используется технология Fuzzy Logic Engine, основанная на математическом аппарате нечеткой логики.

По прогнозам Accenture и фонда «Сколково», в России к к 2026 г. решения open source будут использовать более 90% компаний. Учитывая уход иностранных вендоров ПО с российского рынка, отмечают в «Ростелеком-Солар», востребованность open source и его проникновение в ландшафт инфраструктуры предприятий в 2022 г. многократно возрастет. Но опасность использования open source в том, что эти решения развиваются силами участников отрасли, которые не гарантируют защищенности разрабатываемого или дополняемого ПО. Ранее аналитики «Ростелеком-Солар» отмечали, что в 50% приложений с открытым исходным кодом для ПК содержатся критические уязвимости.

В условиях, когда решения open source могут представлять опасность, подчеркивают в Центре Solar appScreener компании «Ростелеком-Солар», анализ защищенности свободно распространяемых библиотек и приложений становится обязательным условием их использования.