Solar inCode с возможностью инкрементального анализа

Компания «Ростелеком-Solar» (входит в группу «Ростелекома») анонсировала новую версию Solar inCode, решения для контроля защищенности исходного кода.

В список языков программирования, которые распознает и анализирует Solar inCode 2.9, добавились Groovy и Kotlin. Анализ приложений, написанных на Kotlin, возможен даже без доступа к их исходному коду.

Как отмечают в компании, в разработке ПО одни языки постепенно уходят прошлое, другие приходят на их место. Относительно новые языки разработки приложений Groovy и Kotlin сейчас оказались в тренде и продолжают набирать популярность, поэтому они были включены в Solar inCode 2.9. В прошлой версии была реализована поддержка языка Go, и в нынешнем релизе эта функциональность также улучшена благодаря расширению базы правил поиска уязвимостей.

Еще один стратегический вектор развития Solar inCode – поддержка процессов непрерывной интеграции (Continuous Integration, CI) и жизненного цикла безопасной разработки приложений (Security Development Lifecycle, SDL). В рамках развития этого направления в Solar inCode 2.9 реализована возможность инкрементального анализа. За счет этого при сравнении разных сборок приложения разработчики смогут сканировать только ту часть кода, которая добавлена в более новой версии. Аналогично в отчеты Solar inCode 2.9 теперь можно включать только те уязвимости, которые ранее не были обнаружены в данном ПО. При необходимости можно исключать из сканирования стандартные библиотеки, проверяя на ошибки и потенциальный уязвимости только собственный код.

В дополнение к классификациям OWASP Mobile Top 10 2016, OWASP Top 10 2017, PCI DSS и HIPAA Solar inCode теперь позволяет ранжировать найденные уязвимости в соответствии с CWE/SANS Top 25. Версия 2.9 также содержит новые правила поиска уязвимостей для поддерживаемых языков программирования и более детальные описания уязвимостей.