Solar inCode c технологией снижения ложных срабатываний
Компания «Ростелеком-Solar» выпустила новую версию решения для контроля защищенности исходного кода приложений. В Solar inCode 2.10 встроен усовершенствованный модуль Fuzzy Logic Engine для борьбы с ложными срабатываниями. Кроме того, в этой версии запущено бета-тестирование нового, полностью переработанного интерфейса решения.
Модуль Fuzzy Logic Engine в анализаторе кода – технологическое ноу-хау компании, созданное для минимизации количества ложных срабатываний (False Positive) и пропуска уязвимостей в коде (False Negative). Он использует математический аппарат нечеткой логики, который позволяет определить вероятность ложного срабатывания в текущем проекте, основываясь на результатах прошлых сканирований. Параметры работы фильтров модуля Fuzzy Logic Engine определяются базой знаний, которая постоянно пополняется по результатам проведенных проектов.
Как отмечают разработчики, количество ложных срабатываний и пропусков уязвимостей – один из ключевых параметров эффективности любого анализатора кода, поэтому технологическое развитие Fuzzy Logic Engine имеет для компании высокий приоритет. Заложенные в нем алгоритмы – это результат многолетних научных разработок. Модуль был реализован в продукте еще три года назад, поясняют в «Ростелеком-Solar», но только сейчас удалось серьезно усовершенствовать технологию и выпустить крупное обновление.
В версии Solar inCode 2.10 офицер безопасности может настроить отображение результатов сканирования с учетом вероятности ложного срабатывания, что сокращает время, необходимое для обработки отчета и постановки разработчикам задач по исправлению ошибок и уязвимостей в коде. Кроме того, пользователь впервые получает возможность работать с фильтрами Fuzzy Fuzzy Logic Engine напрямую для достижения более высокой точности результатов.
Полностью переработанный графический интерфейс Solar inCode в новой версии проходит бета-тестирование, финальный вариант интерфейса будет представлен в следующей версии решения. В версии 2.10 пользователи по умолчанию будут видеть привычный интерфейс, но для тех, кто захочет протестировать новый и прислать свои отклики и идеи, реализована кнопка переключения.
Кроме того, добавлены новые правила для поиска уязвимостей для поддерживаемых языков программирования, в особенности для Groovy и Kotlin, поддержка которых была реализована в предыдущей версии решения. Отдельно были доработаны алгоритмы анализа при поиске уязвимостей для языков C/C++.
Для сокращения продолжительности сканирования приложений, написанных на языке JavaScript, в новую версию Solar inCode встроена функциональность анализа их состава. Решение определяет используемые внешние библиотеки и позволяет исключить их из анализа.