Solar appScreener 3.14.9: расширенные возможности анализа сторонних компонентов
ГК «Солар», архитектор комплексной безопасности, сообщает о выходе новой версии решения для контроля безопасности приложений Solar appScreener. Ключевые доработки этой версии связаны с качественными изменениями в модуле для анализа сторонних компонентов SCA, снижением ложных срабатываний и интеграцией с решениями класса ASOC.
Фото: ГК «Солар»
Фото: ГК «Солар»
В обновленной версии Solar appScreener модуль SCA (Software Composition Analysis) обнаруживает все сторонние компоненты, используя собственную базу уязвимостей, которая регулярно обновляется экспертами ГК «Солар». Для минимизации количества ложных срабатываний применяется собственная технология Fuzzy Logic Engine, которая позволяет приоритизировать выявленные уязвимости на основе рейтинга EPSS.
«Использование приложений и библиотек с открытым исходным кодом значительно возросло в последнее время. Согласно Linux Foundation, от 70% до 90% современных приложений содержат ПО с открытым исходным кодом, что открывает перед киберпреступниками широкие возможности для атак. Один из последних ярких примеров — бэкдор в популярной утилите XZ Utils для Linux, который позволяет получить несанкционированный удаленный доступ ко всей системе,— отмечает Антон Прокофьев, эксперт по контролю безопасности ПО Solar appScreener ГК “Солар”.— Поскольку открытый исходный код в равной степени доступен всем, включая злоумышленников, это создает серьезный риск целенаправленного внедрения уязвимостей в open source библиотеки. Таким образом, сегодня крайне важно проверять на наличие уязвимостей не только собственный код, но и сторонние компоненты».
Другое нововведение версии 3.14.9 — объединение всех технологий анализа сторонних компонентов (SCA, SCS, анализ лицензионных рисков, комбинированный анализ SAST и SCA) в единый модуль OSA (Open Source Analysis). Модуль OSA в Solar appScreener представляет собой комплекс инструментов нового уровня, сочетающий зрелые технологии и собственную базу уязвимостей. Теперь все технологии анализа сторонних компонентов можно найти в единой вкладке в интерфейсе, а запуск сканирований будет более удобным и прозрачным.
Появилась возможность интеграции решений для оркестрации безопасности приложений (ASOC) — DefectDojo и AppSecHub. Эти платформы объединяют результаты нескольких анализаторов в единый интерфейс, обеспечивая командам разработчиков и специалистам по безопасности полную картину состояния безопасности приложений. Благодаря этим инструментам пользователи Solar appScreener могут работать с результатами всех типов анализа в одном интерфейсе.
Solar appScreener остается мировым лидером по количеству поддерживаемых языков — сегодня их 36. Сканер автоматически определяет язык, на котором написан код, а также может проверять программы, написанные сразу на нескольких языках. Обновленная версия пополнилась новыми правилами поиска уязвимостей для 15 языков программирования, в том числе 1C, PHP, Python и др.
ГК «Солар»
Реклама