ГК «Солар», архитектор комплексной безопасности, сообщила о выходе новой версии решения для контроля безопасности приложений Solar appScreener. Ключевые доработки этой версии связаны с качественными изменениями в модуле для анализа сторонних компонентов SCA, снижением ложных срабатываний и интеграцией с решениями класса ASOC.
В версии 3.14.9 появился комбинированный анализ SCA и SAST для языков Java, Python, JavaScript, Go, C#, список будет расширяться. Он позволяет не только обнаруживать уязвимости в сторонних библиотеках, но и визуализирует трассу вызовов этих библиотек в коде. Это помогает определить, какие уязвимости реальные, и сэкономить время разработчиков на их верификацию.
В обновленной версии Solar appScreener модуль SCA (Software Composition Analysis) обнаруживает все сторонние компоненты, используя собственную базу уязвимостей, которая регулярно обновляется экспертами ГК «Солар». Для минимизации количества ложных срабатываний применяется собственная технология Fuzzy Logic Engine, которая позволяет приоритизировать выявленные уязвимости на основе рейтинга EPSS.
Также появилось больше полезной информации об уязвимых компонентах. Теперь пользователи получают сведения об уязвимых версиях библиотек, ссылки на полезные ресурсы и расширенный маппинг с учетом отечественных стандартов классификации уязвимостей. Кроме того, добавлено дерево зависимостей — интерактивный граф, наглядно демонстрирующий структуру компонентов в проекте.
«Использование приложений и библиотек с открытым исходным кодом значительно возросло в последнее время. Согласно Linux Foundation, от 70% до 90% современных приложений содержат ПО с открытым исходным кодом, что открывает перед киберпреступниками широкие возможности для атак. Один из последних ярких примеров — бэкдор в популярной утилите XZ Utils для Linux, который позволяет получить несанкционированный удаленный доступ ко всей системе, — отметил Антон Прокофьев, эксперт по контролю безопасности ПО Solar appScreener ГК „Солар“. — Поскольку открытый исходный код в равной степени доступен всем, включая злоумышленников, это создает серьезный риск целенаправленного внедрения уязвимостей в open source-библиотеки. Таким образом, сегодня крайне важно проверять на наличие уязвимостей не только собственный код, но и сторонние компоненты».
Другое нововведение версии 3.14.9 — объединение всех технологий анализа сторонних компонентов (SCA, SCS, анализ лицензионных рисков, комбинированный анализ SAST и SCA) в единый модуль OSA (Open Source Analysis). Модуль OSA в Solar appScreener представляет собой комплекс инструментов нового уровня, сочетающий в себе зрелые технологии и собственную базу уязвимостей. Теперь все технологии анализа сторонних компонентов можно найти в единой вкладке в интерфейсе, а запуск сканирований будет более удобным и прозрачным.
Появилась возможность интеграции решений для оркестрации безопасности приложений (ASOC) — DefectDojo и AppSecHub. Эти платформы объединяют результаты нескольких анализаторов в единый интерфейс, обеспечивая командам разработчиков и специалистам по безопасности полную картину состояния безопасности приложений. Благодаря этим инструментам пользователи Solar appScreener могут работать с результатами всех типов анализа в одном интерфейсе.
Обновленная версия продукта поддерживает стандарты OWASP ASVS, OWASP MASVS, CWE/SANS Top 25 2023. Теперь пользователи могут формировать отчеты в соответствии с этими международными классификациями. Также реализована возможность сборки Java-проектов из исходного кода собственными инструментами, что упрощает сборку кода для более глубокого анализа. Это повышает качество анализа и дает большую гибкость при автоматизации процесса безопасной разработки.
В дополнение к ранее упомянутым разработкам, в новой версии реализован ряд улучшений для повышения удобства работы пользователя с системой. Например, появилась новая системная роль «Модератор» и шаблоны ролей. В настройки была внесена функция ручного удаления проектов и сканирований. Кроме того, значительно улучшен этап предобработки кода для статического анализа. Этот этап оптимизирует загружаемые пользователем файлы и преобразует их в удобный для чтения формат. Это позволяет устранить проблемы с анализом, которые могут возникать из-за загрузки больших файлов. Предобработка помогает сделать код понятным и облегчает выявление проблем. Также в версии 3.14.9 реализовали поддержку плагинов Jenkins, TeamCity, Azure и CLT для модулей DAST и OSA.
Solar appScreener автоматически определяет язык, на котором написан код, а также может проверять программы, написанные сразу на нескольких языках. Обновленная версия пополнилась новыми правилами поиска уязвимостей для 15 языков программирования, в том числе 1C, PHP, Python и др.