Анализатор кода Solar appScreener совместим с "Ред ОС"

Solar appScreener (ранее Solar inCode) — анализатор приложений на наличие уязвимостей и недекларированных возможностей (НДВ).

2021

Совместимость с «Ред ОС»

Разработанный компанией «Ростелеком-Солар» инструмент статического анализа кода Solar appScreener прошел тестирование на совместимость с РЕД ОС, операционной системой на основе ядраLinux. Корректность работы подтверждена двусторонним сертификатом. Об этом Ред Софт (Red Soft) сообщил 26 октября 2021 года.

Solar appScreener и РЕД ОС сертифицированы ФСТЭК России и включены в Единый реестр отечественного ПО, что подтверждает их соответствие требованиям информационной безопасности и допускает применение в государственных информационных системах.

Импортозамещение – одна из приоритетных национальных задач. Государство стимулирует развитие российскихинформационных технологий, поддерживая переход государственных структур и госкомпаний на отечественные разработки. Одна из задач «Ростелеком-Солар» как участника российского ИТ-рынка – помочь организациям осуществить беспрепятственный и безопасный переход на отечественное ПО. Технологическое партнерство с разработчиками отечественных операционных систем – для нас важный шаг в этом направлении, – отметил Даниил Чернов, директор Центра Solar appScrener компании «Ростелеком-Солар».
Создание независимой ИТ-инфраструктуры — главная задача рынка информационных технологий. Именно ИТ-специалисты должны развивать безопасную экосистему, обеспечивая полноценность внедряемых стеков. Полноценность для нас как для разработчика операционной системы РЕД ОС означает соответствие нашего продукта запросам заказчиков, в том числе по совместимости со специализированным ПО, каким, например, является Solar appScreener. Благодарим партнеров за сотрудничество, – сказал заместитель генерального директора РЕД СОФТ Рустамов Рустам.

Solar appScreener 3.9

15 апреля 2021 года компания «Ростелеком-Солар», национальный провайдер сервисов и технологий кибербезопасности, представила обновленную версию анализатора кода Solar appScreener 3.9. В обновление вошла поддержка языка программированияDart. Для удобства работы с данными сканирования кода была добавлена возможность выгрузки отчетов в формате CSV. В обновленной версии также появилась возможность выбирать вручную файлы для анализа, что позволит отказаться от сканирования кода всего проекта, если необходимо проанализировать конкретную область.

Solar appScreener 3.9

По информации компании, в Solar appScreener 3.9 специалисты «Ростелеком-Солар» расширили список поддерживаемых языков программирования до 36. В данной версии теперь доступен анализ объектно-ориентированного языка программирования Dart. С его помощью разработчики создают мобильные, серверные и веб-приложения. Вместе с этим в рамках развития поддержки текущих языков специалисты «Ростелеком-Солар» добавили анализ фреймворка Vue.js для JavaScript и Flask для Python.

В обновленной версии изменения коснулись также формата представления отчетности. Начиная с Solar appScreener 3.9 доступна возможность экспорта отчета в формате архива с CSV-файлами, что позволяет пользователям более гибко работать с данными: фильтровать их по конкретным категориям, а также получать аналитические выводы, строя графики на основании полученных значений. Возможность получения отчета в формате PDF останется, однако работать с информацией в этом формате сложнее, так как данные выгружаются в статическом виде.

В Solar appScreener 3.9 появилась возможность выбора конкретных файлов для анализа. При отправке приложения на сканирование можно посмотреть, какие файлы будут проанализированы, и при необходимости вручную исключить лишние, если их анализ не требуется. Если пользователь выберет сканирование проекта полностью, анализатор кода выявит набор файлов в загруженной директории, после чего проанализирует каждый из них на уязвимости и недекларированные возможности. После завершения результаты сканирования доступны в интерфейсе в разделе «Обзор» или в формате отдельного отчёта со статистикой по данным файлам.

В представленном обновлении появилась возможность запустить сразу несколько сканирований в одном проекте с разными настройками, приоритизировав их по очередности. Все статусы анализа защищенности ПО доступны в разделе «Сканирования».

Кроме того, специалисты «Ростелеком-Солар» добавили возможность удалять сканирования проектов. В версии пользователь может как архивировать, так и удалять сканирование безвозвратно. Вместе с этим была оптимизировна форма запуска анализа – в обновлении выбор файла и поле для ссылки на приложение объединены в одну вкладку, а начать сканирование проекта теперь можно со страницы «Сканирования».

В Solar appScreener 3.9 разработчики добавили паттерны поиска и дополнили описания уязвимостей для поддерживаемых языков программирования.

Поддержка LotusScript в Solar appScreener 3.8

«Ростелеком-Солар», национальный провайдер сервисов и технологий кибербезопасности, 25 января 2021 года сообщил о выходе очередной версии анализатора кода Solar appScreener 3.8. В обновлении представлена функциональность экспериментального анализа, позволяющая пользователям системы опробовать в действии последние возможности обнаружения уязвимостей в коде, находящиеся в проработке у разработчиков системы. Также расширена поддержка языков программирования за счет анализа приложений на LotusScript, а в интерфейсе анализатора появился информационный уровень критичности уязвимостей.

Для быстрой доставки технологических инноваций пользователям в Solar appScreener 3.8 был добавлен режим анализа приложений, написанных на языках Java, Scala и Kotlin. В его основе лежит сложный математический алгоритм, позволяющий увеличить точность и количество получаемых результатов при сканировании кода, — отмечает Даниил Чернов, директор Центра решений безопасности ПО компании «Ростелеком-Солар». — Чтобы активировать эту функцию при анализе, необходимо выбрать соответствующий параметр в интерфейсе. При этом нашим клиентам гарантировано сохранение наработанной годами стабильности функционирования системы: если экспериментальный режим анализа пользователю не нужен, он может его не использовать и продолжать работать в прежнем режиме.

В данной версии разработчики «Ростелеком-Солар» расширили набор языков программирования, добавив объектно-ориентированный язык LotusScript, на базе которого функционируют многие системы IBM и HCL. Этот язык применяется в разработке в Европе и США для создания приложений семейства Lotus – систем автоматизации бизнес-процессов, групповой деятельности в компаниях (корпоративная почта, чаты, мессенджеры и т.п.) Поддержка LotusScript реализована для расширения горизонтов развития продукта на международных рынках. На январь 2021 года в активе Solar appScreener уже 35 языков.

Значимым изменением версии стало появление в системе классификации уязвимостей информационного уровня критичности. Параметр является показателем некачественного кода, который пока уязвимостью не является, но в перспективе, в случае его модификации, в приложении могут образовываться бреши. В более ранних версиях системы информацию об этом можно было найти в разделе «Уязвимости с низким уровнем критичности». Начиная с Solar appScreener 3.8 данные вынесены в отдельный информационный блок и больше не влияют на общий рейтинг безопасности приложения.

Вместе с тем у пользователей данной версии появилась возможность самостоятельно создавать в интерфейсе системы карточки с правилами поиска уязвимостей. Данная функциональность особенно востребована компаниями, которые внедрили у себя процесс безопасной разработки на базе Solar appScreener. Например, с помощью собственных правил можно обнаруживать в коде разрабатываемых приложений признаки, указывающие на возможность осуществления технического фрода в системе.

Теперь пользователь может самостоятельно создать карточку с описанием, примерами и рекомендациями по устранению уязвимости, а затем добавить собственные паттерны поиска в формате XML. При этом заданные в системе правила отныне будут недоступны для редактирования: ранее изменённые системные правила автоматически преобразуются в пользовательские.

Для соответствия продукта регуляторным требованиям отдельных международных юрисдикций специалисты «Ростелеком-Солар» добавили возможность просмотра пользовательского соглашение (EULA) в любой момент, а не только при первом входе в систему.

2020

Solar appScreener 3.7 с поддержкой интегрированных сред разработки

Компания «Ростелеком-Солар» выпустила очередное обновление анализатора кода приложений Solar appScreener 3.7. Об этом стало известно 14 октября 2020 года. Ключевым изменением данной версии стала поддержка интегрированных сред разработки IntelliJ IDEA от JetBrains и Visual Studio от Microsoft для исправления уязвимостей на более ранних стадиях создания ПО.

IntelliJ IDEA представляет собой среду разработки для многих языков программирования, в частности Java, JavaScript, Python, разработанную компанией JetBrains. В свою очередь Visual Studio от Microsoft является инструментом разработки программного обеспечения, используемого для создания веб-приложений, веб-сайтов, мобильных приложений и программ Windows. Реализованная в обновленной версии Solar appScreener поддержка IDE-сред позволяет встраивать статический анализ приложений на уязвимости в процесс разработки уже на этапе сборки кода.

Помимо раннего обнаружения уязвимостей авторы системы поработали и над ускорением запуска сканирований. В личном кабинете Solar appScreener появился подраздел «Настройки» для создания шаблонов сканирований. Теперь пользователь анализатора может сохранить свои шаблоны настроек сканирования и использовать их для быстрого запуска проектов.

Наряду с поддержкой наибольшего числа языков программирования среди всех аналогичных рыночных решений и расширением интеграционных возможностей нашего продукта мы значительное внимание уделяем и улучшению его функциональности. Ключевые изменения нам подсказывают сами пользователи, ориентируясь на них, мы стремимся сделать Solar appScreener самым удобным сканером кода, – отмечает Даниил Чернов, директор центра решений безопасности ПО компании «Ростелеком-Солар».

В соответствии с этой целью в Solar appScreener 3.7 была дополнена и значительно улучшена функциональность пользовательского интерфейса. Так, в разделе «О продукте» появилось руководство администратора системы. Все инструкции по установке, обновлению и настройке анализатора теперь можно скачать непосредственно из интерфейса системы, а не запрашивать у вендора.

Кроме того, повышена производительность раздела интерфейса «Подробные результаты»: теперь страница загружается быстрее, и работать с большим количеством уязвимостей будет удобнее. А в разделе «Формы создания/редактирования групп проектов, наборов правил, паттернов» появились радиокнопки «Приватный» и «Публичный», которые позволяют настроить видимость тех или иных элементов проекта сразу для всех пользователей анализатора или только для ограниченного круга лиц. В предыдущих версиях эта функциональность была представлена менее интуитивно понятным чекбоксом «Для всех пользователей».

Для повышения эффективности выявления уязвимостей в версии 3.7 разработчики дополнили базу правил паттернами поиска уязвимостей для поддерживаемых языков программирования, а также расширили описания уязвимостей.

Включение в сингапурскую государственную программу грантов

Сингапурский ИКТ и медиа-регулятор IMDA (Infocomm Media Development Authority) включил российский анализатор кода приложений Solar appScreener в государственную программу грантов, которые могут получить малые и средние ИТ-предприятия страны на закупку систем информационной безопасности. Об этом Rostelecom-Solar сообщил 17 сентября 2020 года. Поставщиком решения в рамках данной программы выбран сингапурский партнер Solar appScreener – компания Athena Dynamics.

Сингапур активно стимулирует малые и средние компании внедрять цифровые решения для повышения производительности и трансформации бизнеса. В этой связи одной из приоритетных задач для местных ИТ-вендоров IMDA считает обеспечение высокого уровня защищенности создаваемых ими технологий и решений. Чтобы ИКТ-компании смогли быстрее повысить безопасность разрабатываемых систем, регулятор запустил программу грантов GoSecure Program.

В рамках программы малые и средние предприятия ИТ-сферы Сингапура смогут получить грант на покупку решений по кибербезопасности из утвержденного IMDA списка для дальнейшего использования при разработке и внедрении своих систем. Регулятор предоставит участникам программы субсидию в размере до 80% от стоимости закупаемых решений информационной безопасности.

Технология статического анализа бинарного кода является особенностью Solar appScreener, востребованной во всем мире. Мы рады предложить рынку Сингапура весь спектр возможностей нашей системы, чтобы местные ИТ-компании смогли сделать свои разработки более защищенными, а значит, повысить привлекательность своих решений в глазах клиентов. Особенно приятно получить столь высокую оценку от регулятора, выбравшего наш продукт для программы поддержки предприятий своей отрасли, – отметил Олег Слепов, директор специальных проектов компании «Ростелеком-Солар».

Solar appScreener – статический анализатор кода приложений на наличие уязвимостей и недекларированных возможностей. Отличительной особенностью Solar appScreener является статический анализ не только исходного кода, но и исполняемых файлов (бинарного кода) без файла debug info. Это обеспечивает более качественные и быстрые результаты, чем в случае использования динамических анализаторов приложений (DAST). Система осуществляет анализ приложений, написанных на 34 языках программирования или скомпилированных в одном из 9 различных форматов исполняемых файлов, в том числе для GoogleAndroid, Apple iOS и Apple macOS.

Выпуск Solar appScreener версии 3.6

16 июля 2020 года компания «Ростелеком-Солар» объявила о выходе обновленной версии анализатора защищенности приложений Solar appScreener 3.6. Система позволяет проводить тестирование программного обеспечения на уязвимости и НДВ для соответствия четвертому оценочному уровню доверия (ОУД4) согласно требованиям положений Банка России.

Solar appScreener 3.6

По информации компании, по запросам российских клиентов в обновленной версии предусмотрена возможность тестирования приложений на уязвимости и НДВ для соответствия четвертому оценочному уровню доверия (ОУД4), согласно пункту 7.6 национального стандарта РФ ГОСТ Р ИСО/МЭК 15408-3-2013. Такое тестирование актуально для заказчиков финансовой сферы, поскольку нормативные документы Банка России обязывают организации данной отрасли с 1 июля 2020 года проводить анализ уязвимостей прикладного ПО, используемого в платежных и иных финансовых операциях. Теперь пользователям Solar appScreener доступен отчет о содержащихся в приложении уязвимостях и НДВ непосредственно в формате ОУД4.

Разработчики реализовали в версии 3.6 поддержку языка программирования Pascal. Этот язык, который является предшественником Delphi, лежит в основе разнообразных legacy-систем, активно используемых западными организациями для внутренних нужд.

В 90-х годах прошлого века варианты языка Pascal широко использовались для создания различного ПО, начиная с исследовательских приложений и заканчивая компьютерными играми. На июль 2020 года производный язык Object Pascal применяется для разработки некоторых Windows-приложений. Теперь, вместе с поддержкой Pascal, Solar appScreener может анализировать приложения на 34 языках программирования.


подчеркнул Даниил Чернов, руководитель направления Solar appScreener компании «Ростелеком-Солар»

Важным шагом в направлении развития автоматизации сканирования кода на уязвимости стала более тесная интеграция Solar appScreener с системами хранения и управления версиями кода (репозиториями) GitLab, GitHub и Bitbucket. Данная интеграция позволяет анализатору самостоятельно отслеживать появление обновленной версии кода в репозитории, автоматически запускать анализ частей кода на уязвимости с возможностью последующей отправки результатов сканирования ответственному сотруднику. Ранее эта функциональность требовала ручной настройки, а начиная с версии 3.6, доступна «из коробки». Стоит отметить, что отслеживание появления другого кода в репозитории теперь реализовано не через CI/CD-сервер, а непосредственно из репозитория через push- и tag-события. Такой способ отслеживания удобен для компаний, в которых не используются CI/CD-сервера или же разработка ведется, минуя их.

Также в обновленной версии был сделан ряд доработок, направленных на повышение удобства и комфорта работы с системой. Так, в интерфейсе анализатора появилась опция создания пустых проектов без сканирований с возможностью предварительной настройки интеграции с репозиториями для проведения автоматизированного анализа кода в будущем. Эта функция актуальна, например, в тех случаях, когда разработчики не успевают подготовить код к завершению внедрения Solar appScreener в компании, а заказчик хотел бы начать отслеживание уязвимостей в приложении с более-менее полной версии.

Кроме того, в интерфейсе была реализована возможность скачать журналы событий (логи). Эта информация полезна, например, когда при запуске сканирования была допущена какая-либо ошибка и процесс анализа не выполнен корректно, но заказчик самостоятельно не может разобраться в причине. В этом случае теперь пользователь сможет за пару кликов выгрузить из системы необходимые лог-файлы, и специалисты технической поддержки Solar appScreener смогут оперативно устранить ошибку и помочь корректно запустить процесс.

А для крупных компаний, в которых уже используется мониторинг работоспособности систем с помощью инструментов мультиплатформенной аналитики Prometheus и интерактивной визуализации Grafana, дополнительным преимуществом станет реализованная в версии 3.6 поддержка этих инструментов мониторинга. Эта функциональность востребована заказчиками, для которых важно иметь актуальную информацию о состоянии анализатора в конкретный момент времени: данные о наличии каких-либо задержек в процессах или сбоев, загруженности и производительности системы и т.п.

Выпуск Solar appScreener 3.5 c поддержкой языка программирования Rust

23 апреля 2020 года компания «Ростелеком-Солар» сообщила о выпуске следующей версии анализатора защищенности приложений Solar appScreener 3.5. В версии реализована поддержка набирающего популярность языка программирования Rust, а также интеграция с системой управления версиями Subversion.

Rust – язык программирования общего назначения, используемый для разработки разного рода внутренних систем, а также для системного программирования, в частности для создания ядер операционных систем. В стабильной версии язык существует с 2015 года и стремительно набирает популярность в среде разработчиков.

Этот язык сопоставим с С++ по возможностям, но при этом превосходит его с точки зрения безопасности. В нем лучше реализованы различные механизмы ограничения, в частности, при работе с памятью. Rust – достаточно молодой язык, однако в последнее время мы получали все больше запросов от наших заказчиков на его поддержку, поэтому и реализовали эту возможность в следующей версии,


– подчеркнул Даниил Чернов, руководитель направления Solar appScreener компании «Ростелеком-Солар»

Solar appScreener 3.5 поддерживает интеграцию с Subversion – системой управления версиями в разработке, второй по популярности после Git. Subversion, в отличие от Git, является свободным ПО, за счет чего приобрела популярность среди разработчиков. Следующая версия Solar appScreener позволяет запустить анализ кода приложения непосредственно по ссылке на репозиторий Subversion.

Кроме того, в версии 3.5 реализована экспериментальная поддержка базы данныхPostgreSQL, которую в последующих версиях планируется перевести в стадию промышленной эксплуатации. Также теперь можно установить анализатор на ОС Astra Linux SE, сертифицированную СЗИ ФСТЭК России. Обе эти возможности ориентированы прежде всего на удовлетворение бизнес-потребностей компаний государственной сферы.

Текущую версию отличает и ряд заметных улучшений, направленных на повышение удобства использования анализатора. Так, теперь язык интерфейса Solar appScreener определяется автоматически в зависимости от языка анализируемой системы и нет необходимости переключаться между языками вручную.

Значительные изменения коснулись анализа конфигурационных файлов. В предыдущих версиях системы эти файлы сканировались в общем потоке, и отдельная статистика по ним не отображалась. Начиная с версии 3.5 конфигурационные файлы выведены в отдельные настройки. В подробных результатах сканирования появилась возможность применить фильтр по уязвимостям в конфигурационных файлах. А в мультиязыковом приложении результаты сканирований конфигурационных файлов сразу же группируются по языкам – их просмотр стал гораздо удобнее.

Часто при сканировании кода возникает необходимость исключить из проверки сторонние библиотеки. В Solar appScreener давно существует возможность отключения анализа заимствованных компонент – в новой же версии существенно расширен набор библиотек, определяемых анализатором как сторонние.

Выпуск Solar appScreener версии 3.4

23 января 2020 года «Ростелеком-Солар» сообщил о выпуске следующей версии анализатора защищенности приложений Solar appScreener 3.4. Версию отличает продвинутая среди всех конкурирующих решений система отчетности, более детальная верификация уязвимостей и поддержка языка программирования VB.NET Microsoft.

В Solar appScreener 3.4 значительно переработаны навигация и конфигурация системы отчетности, а также само содержание отчетов. Последние теперь представляют собой не статичный перечень обнаруженных проблем и ошибок в коде, как было ранее, а динамический документ с кросс-ссылками на детальные описания обнаруженных уязвимостей. Таким образом, если по разным причинам специалист ИБ-службы не может предоставить разработчикам доступ в интерфейс анализатора, представленной в отчете информации будет достаточно для оперативного устранения всех выявленных уязвимостей.

Пользователи версии могут выбирать, какую информацию по результатам анализа необходимо включить в отчет. Ранее отфильтровать уязвимости (по языкам программирования, с применением технологии Fuzzy Logic Engine, по наличию задачи в Jira и т.д.) можно было лишь в интерфейсе Solar appScreener. В отчет же загружалась вся полученная в результате сканирования информация об уязвимостях, без возможности ее фильтрации. Теперь фильтрацию можно использовать и при формировании отчетов. Например, при работе с ложными срабатываниями можно выгрузить в отчет лишь уязвимости со степенью достоверности от 3-х до 5-ти баллов по 5-балльной шкале.

Кроме того, теперь в отчёт можно включить более подробную информацию о самом анализируемом проекте: историю всех сканирований, диаграммы со статистикой уязвимостей в разных разрезах, сравнение с предшествующим сканированием, комментарии к уязвимостям, диаграмму потока данных и другие данные.

Переработанная система отчетности, которая доступна в следующей версии, основана на наиболее приоритетных запросах, озвученных пользователями нашего анализатора. В процессе совершенствования отчетов мы сравнивали аналогичные возможности других решений данного класса, доступных не только российским, но и зарубежным заказчикам. В итоге мы с уверенностью можем сказать, что в Solar appScreener 3.4 пользователи получат наиболее продвинутую на рынке систему формирования максимально кастомизированных отчетов,


- отметил Даниил Чернов, руководитель направления Solar appScreener компании «Ростелеком-Солар»

Также по запросу заказчиков разработчики реализовали в следующей версии более детальную систему верификации уязвимостей. В пользовательский интерфейс были добавлены статусы верификации «Подтверждено», «Отклонено», «Не обработано» (ранее можно было отметить уязвимости лишь как false). Статусы автоматически сохраняются во всех последующих сессиях, что существенно облегчает процедуру верификации уязвимостей в масштабных проектах, содержащих несколько миллионов строк кода.

В продолжение стратегии по поддержке максимально широкого спектра языков программирования в версии 3.4 доступен анализ приложений, разработанных на VB.NET семейства .NET|.NET Microsoft. Этот язык наиболее часто используется для создания интерфейсов веб и десктоп-приложений. Теперь Solar appScreener поддерживает два наиболее используемых Microsoft языка разработки приложений – C # и VB.NET. Всего же в арсенале анализатора от «Ростелеком-Солар» на данный момент – 32 поддерживаемых языка программирования.

В части непрерывной работы по улучшению качества анализа кода в данную версию были добавлены такие расширения файлов, как .bsp (язык ABAP), .pso (Cobol) и ряд других. В частности, это улучшение будет полезно крупным компаниям, использующим приложения для SAP, а также пользователям унаследованных систем, от которых по тем или иным причинам невозможно отказаться.

2019

Выпуск Solar appScreener версии 3.3

10 октября 2019 года компания «Ростелеком-Солар» сообщила о выпуске очередной версии анализатора защищенности приложений Solar appScreener 3.3. В обновлении реализована поддержка языков программирования Perl и Vyper, а также интеграция c SonarQube – платформой непрерывной проверки качества кода.

Perl – язык программирования, предназначенный для работы с отчетами и используемый для обработки больших массивов данных. Его поддержка в Solar appScreener 3.3 позволяет дополнительно осуществлять анализ защищенности модулей отчетностей CRM-систем, а также систем класса Know Your Customer, используемых в финансовом секторе, сфере пассажирских перевозок и некоторых других отраслях. Не осталась без внимания разработчиков анализатора и технология блокчейн: обновленная версия в дополнение к Solidity поддерживает и язык программирования Vyper, используемый как альтернатива Solidity для создания смарт-контрактов платформы Ethereum.

Solar appScreener не только интенсивно наращивает собственную функциональность, но и активно интегрируется с другими передовыми системами, предназначенными для повышения безопасности разрабатываемого кода. Так, в представленной версии анализатора предусмотрена возможность интеграции с платформой непрерывной проверки качества кода SonarQube. Теперь Solar appScreener 3.3 поставляет платформе данные об обнаруженных в приложениях уязвимостях и позволяет дополнить этой информацией отчет SonarQube. На октябрь 2019 года возможности платформы используют мировые брэнды Siemens, Deutsche Bank, AirFrance, Bosch, Canon, Audi и многие другие. Среди российских клиентов – , Альфа Банк, Банк России, Газпром и др.

В данной версии был сделан значительный шаг вперед в развитии анализа приложений. Теперь для исполняемых файлов мобильных приложений доступен анализ кода на всех языках программирования, поддерживаемых Solar appScreener при сканировании исходного кода (ранее только на Java/Scala/Kotlin и Objective-C/Swift). Кроме того, к семи форматам исполняемых файлов, поддерживаемым в предыдущей версии, добавилось еще два – AAR и EAR.

Также разработчики внесли ряд улучшений в пользовательский интерфейс Solar appScreener 3.3. В частности, была переработана система навигации – сделан более удобным переход от вкладок к пунктам бокового меню, добавлен навигационный инструмент «хлебные крошки». А в доработанном разделе аналитики реализовано автоматическое обновление групп проектов и графиков после редактирования, а также сохранение выбранных для отображения групп проектов при обновлении страницы.

Выпуск Solar appScreener версии 3.2

11 июля 2019 года компания «Ростелеком-Солар» выпустила очередную версию анализатора защищенности приложений Solar appScreener, которая теперь поддерживает 29 языков программирования, в том числе популярный в России язык приложений «». Кроме того, в Solar appScreener были добавлены ссылки на уязвимости в реестре Банка данных угроз безопасности информации ФСТЭК.

Благодаря поддержке языка «1С» очередная версия нашего анализатора может выявлять уязвимости и НДВ в приложении, с которым работают практически все российские организации. «1С. Предприятие». При этом на каждом конкретном предприятии используются кастомизированные конфигурации этого ПО, которые реализуются многочисленными партнерами «1С». В процессе разработки модификаций и версий в приложение могут быть случайно внесены уязвимости или умышленно заложены НДВ,

отмечает Даниил Чернов, руководитель направления Solar appScreener компании «Ростелеком-Солар»

Кроме того, Solar appScreener 3.2 поддерживает язык программирования VBA – Visual Basic для приложений. Этот язык встроен в линейку продуктов Microsoft Office, включая версии для Mac OS, а также во многие другие программные пакеты (AutoCAD, CorelDRAW, бухгалтерские и финансовые программы). VBA активно используется разработчиками, поскольку позволяет вносить изменения в приложения. Теперь пользователи анализатора могут осуществлять проверку приложений на VBA, предназначенных для управления производством, технической поддержки, торговли, строительной инженерии, телефонии, обработки данных, управления потоками документов, финансового обслуживания, юридической поддержки, медицины.

Также версия Solar appScreener 3.2 поддерживает популярный фреймворк ASP.NET, который активно применяется при разработке веб-приложений и базируется на веб-сервисах, программной инфраструктуре и модели программирования Microsoft. На ASP.NET реализован ряд востребованных высоконагруженных приложений.

Помимо поддержки 29-ти языков программирования, что на июль 2019 года превосходит возможности всех конкурирующих решений, в данной версии пользователям доступны ссылки на соответствующие уязвимости в реестре Банка данных угроз безопасности информации ФСТЭК с возможностью их выгрузки в отчеты. Это важно для специалистов, которые работают с уязвимостями в российском ПО, так как в международных реестрах уязвимостей типа CVE (Common Vulnerabilities and Exposures) эти уязвимости могут отсутствовать. А также для офицеров безопасности, занимающихся защитой ГИС, ИСПДн и АСУ ТП на объектах КИИ. На июль 2019 года в Банке данных ФСТЭК содержится порядка 22 тысяч записей, полторы сотни из которых не представлены в базе CVE.

В направлении развития интеграции со сторонними средствами разработки ПО в Solar appScreener 3.2 был расширен список поддерживаемых сервисов непрерывной интеграции и доставки CI/CD. Теперь кроме Jenkins и TeamCity решение интегрируется с AzureDevOps Server 2019 (ранее Team Foundation Server, или TFS) от Microsoft, которым пользуются тысячи разработчиков по всему миру.

Выпуск Solar appScreener версии 3.1

11 апреля 2019 года компания Ростелеком-Solar сообщила о выпуске очередной версии анализатора защищенности приложений Solar appScreener 3.1. Теперь система поддерживает 26 языков программирования.

Среди добавленных языков, взятых на вооружение в этой версии, – TypeScript и VBScript, что существенно расширяет охват сегмента веб-приложений, доступных для анализа с помощью Solar appScreener. Кроме того, в анализаторе реализована поддержка Apeх – языка CRM-системы Salesforce. Это позволит компании Ростелеком-Solar увеличить продажи на зарубежных рынках.

Даниил Чернов, руководитель направления Solar appScreener отметил:

В развитии своего продукта мы делаем ставку на две принципиально важные составляющие – совершенствование функциональности анализатора и повышение удобства работы с системой. Версия 3.1, благодаря поддержке ряда дополнительных языков, позволит нашим заказчикам расширить спектр защищаемых приложений. С каждой очередной версией проверка ПО на уязвимости и НДВ становится все проще и эффективнее.

В Solar appScreener 3.1 появился ряд возможностей для более тонкой настройки под нужды заказчика. В частности, теперь можно отслеживать изменения в участках кода, содержащих уязвимости или недекларированные возможности, сравнивая результаты сканирований за любой промежуток времени (ранее сравнение было доступно лишь для двух последних сканирований). Это позволяет проводить полный ретроспективный анализ с пониманием, когда были обнаружены уязвимости и какие действия предпринимались в их отношении. Возможность указать прямую ссылку на участок кода значительно упрощает и ускоряет взаимодействие ИБ-специалиста с командой разработки, способствуя оперативному устранению уязвимостей.

По просьбам заказчиков в анализатор добавили опцию разделения ролей комментирования и редактирования результатов сканирования, поскольку в крупных организациях право на редактирование должен иметь лишь узкий круг сотрудников. Редактирование результатов сканирования позволяет заказчику отфильтровать уязвимости, которые он не считает критичными (например, сложноэксплуатируемые уязвимости и т.п.)

В Solar appScreener 3.1 продолжена доработка внешнего вида и эргономики пользовательского интерфейса. Кроме того, представленная версия легче встраивается в жизненный цикл разработки ПО благодаря улучшению функциональности плагина для интеграции с Jenkins и расширенным возможностям для интеграции с Jira. Также разработчики системы значительно дополнили базу правил поиска уязвимостей и доработали алгоритмы анализа для более эффективного выявления уязвимостей и дальнейшего снижения количества ложных срабатываний.

Ребрендинг и выпуск Solar appScreener 3.0

24 января 2019 года компания «Ростелеком-Solar» объявила о масштабном обновлении своего анализатора приложений на наличие уязвимостей и недекларированных возможностей (НДВ). Начиная с версии 3.0, продукт будет представлен на рынке под названием — Solar appScreener — вместо предшествующего Solar inCode. Ребрендинг продиктован технологической эволюцией продукта: реализованные в нем технологии декомпиляции и деобфускации позволяют не просто сканироватьисходный код, но и анализировать приложения в виде исполняемых файлов, пояснили в «Ростелеком-Solar».

Ключевым изменением Solar appScreener 3.0 стала полностью обновленная система взаимодействия решения с пользователями. Значительным изменениям подвергся как графический интерфейс решения, так и функциональность системы.

С выходом предыдущей версии анализатора Solar inCode 2.10 было запущено бета-тестирование графического интерфейса и по итогам собраны отклики и пожелания пользователей по возможным улучшениям. Кроме того, компания провела ряд специализированных UX/UI-тестов, по результатам которых эргономику интерфейса доработали — например, свели к минимуму количество кликов, необходимое для доступа пользователей к функциям системы. Также была полностью переработана страница управления группами пользователей: в представленной версии при ее создании можно гибко настраивать права группы пользователей, отметили в «Ростелеком-Solar».

Со слов разработчика, в обновленном интерфейсе также появились удобная навигация по проектам и результатам анализа, быстрый поиск, более наглядное и подробное представление статистической информации о проектах и дополнительные фильтры для проектов, а также переработана страница администрирования. Пользователи, предпочитающие предыдущий интерфейс, смогут пользоваться им вплоть до выхода версии 3.1.

Изменения, реализованные в Solar appScreener 3.0

Согласно заявлению разработчика, в Solar appScreener 3.0 повысилось удобство использования модуля Fuzzy Logic Engine, который позволяет минимизировать количество ложных срабатываний, не пропуская при этом реальные уязвимости. Благодаря увеличению покрытия базы правил поиска уязвимостей в представленной версии можно настраивать отображение результатов с учетом вероятности ложного срабатывания.

Одно из важнейших требований, которые предъявляют к современным анализаторам защищенности приложений, — возможность интеграции в процесс безопасной разработки. Для расширения такой возможности в Solar appScreener 3.0 реализована интеграция с Microsoft Active Directory, которая позволяет автоматически соблюсти действующие в компании политики информационной безопасности и права доступа разработчиков и офицеров безопасности к различным информационным системам. Таким образом, по утверждению разработчика, Solar appScreener 3.0 повышает общий уровень корпоративной информационной безопасности и сокращает время, которое требуется для управления полномочиями пользователей.

Как считают в «Ростелеком-Solar», за счет обновленных методов анализа потока данных и метода генерации диаграммы распространения данных для уязвимостей версия решения 3.0 более эффективно анализирует уязвимости приложений, написанных на языках Java, Scala, Kotlin и Java for Android.

Реализованная в Solar appScreener 3.0 поддержка legacy-языка COBOL позволит проверять на уязвимости унаследованные системы, от которых по тем или иным причинам невозможно отказаться. COBOL часто использовали для разработки банковских приложений, и его поддержка была реализована по запросам клиентов и партнеров «Ростелеком-Solar» на зарубежных рынках, отметил разработчик.

2018

Версия Solar inCode 2.10 c обновленной технологией снижения ложных срабатываний

17 октября 2018 года Ростелеком-Solar сообщил о выпуске очередной версии решения для контроля защищенности исходного кода приложений. В Solar inCode 2.10 встроен усовершенствованный модуль Fuzzy Logic Engine, который задает отраслевой стандарт в области борьбы с ложными срабатываниями. Кроме того, в вышедшей версии запущено бета-тестирование абсолютно другого, полностью переработанного интерфейса решения.

Модуль Fuzzy Logic Engine – технологическое решение компании Ростелеком-Solar, созданное для минимизации количества ложных срабатываний (False Positive) и пропуска уязвимостей в коде (False Negative). Он использует математический аппарат нечеткой логики, который позволяет определить вероятность ложного срабатывания в текущем проекте, основываясь на результатах прошлых сканирований. Параметры работы фильтров модуля Fuzzy Logic Engine определяются базой знаний, которая постоянно пополняется по результатам проведенных проектов.

Количество ложных срабатываний и пропусков уязвимостей – один из ключевых параметров эффективности любого анализатора кода, поэтому технологическое развитие Fuzzy Logic Engine имеет для нас высокий приоритет. Заложенные в нем алгоритмы – это результат многолетних научных разработок, и за каждым обновлением стоит большой объем исследований. Этот модуль был реализован в продукте еще в 2015 году, но только в 2018 удалось серьезно усовершенствовать технологию и выпустить крупное обновление.

Даниил Чернов, руководитель направления Solar inCode компании Ростелеком-Solar.

В версии Solar inCode 2.10 офицер безопасности может настроить отображение результатов сканирования с учетом вероятности ложного срабатывания, что существенно сокращает время, необходимое для обработки отчета и постановки разработчикам задач по исправлению ошибок и уязвимостей в коде. Кроме того, пользователь получает возможность работать с фильтрами Fuzzy Fuzzy Logic Engine напрямую для достижения еще более высокой точности результатов.

Однако какой бы сложной ни была технология, Ростелеком-Solar всегда стремится преподнести ее пользователю в простом и понятном виде. Поэтому в Solar inCode 2.10 запущено бета-тестирование принципиально другого, полностью переработанного графического интерфейса, финальный вариант которого будет представлен в следующей версии решения. В Solar inCode 2.10 пользователи по умолчанию будут видеть привычный интерфейс, но для тех, кто захочет протестировать будущий интерфейс и прислать свои отклики и идеи, реализована кнопка переключения.

В Solar inCode 2.10 добавлены правила для поиска уязвимостей для поддерживаемых языков программирования, в особенности для Groovy и Kotlin, поддержка которых была реализована в предыдущей версии решения. Отдельно были доработаны алгоритмы анализа при поиске уязвимостей для языков C/C++.

Для сокращения продолжительности сканирования приложений, написанных на языке JavaScript, в версию Solar inCode встроена функциональность по анализу их состава. Решение определяет используемые внешние библиотеки и позволяет исключить их из анализа.

Сертификация ФСТЭК России

20 сентября 2018 года компания «Ростелеком-Solar» сообщила о получении сертификата ФСТЭКРоссии на Solar inCode, решение для контроля защищенности исходного кода приложений.

Использование сертифицированного программного обеспечения является обязательным требованием для государственных, а также многих коммерческих организаций. Как сообщили в «Ростелеком-Solar», сертификат соответствия № 4007, выданный ФСТЭК России, удостоверяет, что решение Solar inCode отвечает требованиям к программному обеспечению по 4 уровню контроля отсутствия недекларированных возможностей (НДВ). Solar inCode также входит в Единый реестр российских программ для электронных вычислительных машин и баз данных, что позволяет использовать его в организациях, реализующих программу импортозамещения в области ИБ-решений.

Функциональность, позволяющая решению даже без доступа к исходному коду приложений проверять их на наличие ошибок и уязвимостей методом статического анализа, делает Solar inCode, по мнению разработчика, оптимальным инструментом для контроля защищенности унаследованного и стороннего ПО. Также в число преимуществ решения входят широкий список детектируемых уязвимостей, низкий процент ложных срабатываний и поддержка большинства современных языков программирования.

Выпуск версии 2.9

25 июня 2018 года компания Solar Security сообщила о выходе очередной версии Solar inCode, решения для контроля защищенности исходного кода.

Список языков программирования, который распознает и анализирует Solar inCode 2.9, пополнился за счет Groovy и Kotlin. При этом анализ приложений, написанных на Kotlin, возможен даже без доступа к их исходному коду.

При формировании дорожной карты развития продукта очень важно следить за тенденциями в разработке ПО. Одни языки постепенно уходят в прошлое, другие приходят на их место, и мы должны оперативно реагировать на потребности рынка. Groovy и Kotlin – языки разработки приложений, которые сейчас оказались в тренде и продолжают набирать популярность, поэтому мы включили их в Solar inCode 2.9. В прошлой версии была реализована поддержка языка Go, и в нынешнем релизе эта функциональность также была улучшена благодаря существенному расширению базы правил поиска уязвимостей.

Даниил Чернов, руководитель направления Solar inCode компании «Ростелеком-Solar»

Архитектура Solar inCode

Еще один стратегический вектор развития Solar inCode – поддержка процессов непрерывной интеграции и жизненного цикла безопасной разработки приложений. В рамках развития данного направления в Solar inCode 2.9 была реализована возможность инкрементального анализа. Благодаря этому при сравнении разных сборок приложения разработчики смогут сканировать только ту часть кода, которая была добавлена в последней версии. Аналогично, в отчеты Solar inCode 2.9 теперь можно включать только те уязвимости, которые ранее не были обнаружены в данном ПО. Кроме того, при необходимости можно исключать из сканирования стандартные библиотеки, проверяя на ошибки и потенциальный уязвимости только собственный код.

В дополнение к классификациям OWASP Mobile Top 10 2016, OWASP Top 10 2017, PCI DSS и HIPAA Solar inCode 2.9 позволяет ранжировать найденные уязвимости в соответствии с CWE/SANS Top 25. Также данная версия содержит дополнительные правила поиска уязвимостей для поддерживаемых языков программирования, а также улучшенные, более детальные описания уязвимостей.

Выпуск версии 2.8

Компания Solar Security 19 апреля 2018 года выпустила обновление решения для проверки безопасности приложений Solar inCode 2.8 с поддержкой языка программирования Go, также известного как Golang.

Поддержка Go — это функциональность, которая была включена в дорожную карту развития продукта вследствие большого количества соответствующих запросов от заказчиков. Учитывая то, какими темпами этот язык набирает популярность, думаю, мы будем углублять его поддержку в последующих версиях Solar inCode, — сообщил Даниил Чернов, руководитель направления Solar inCode компании Solar Security.

С первых версий Solar inCode поддерживает инструменты непрерывной интеграции (Continuous Integration) и безопасной разработки приложений (SDLC), позволяющие автоматизировать данные процессы. В рамках развития этого направления в Solar inCode 2.8 была встроена поддержка TeamCity, популярного сервера непрерывной интеграции.

Еще одним шагом в направлении бесшовной интеграции в SDLC стала поддержка JSON API, реализованная в дополнение к Command Line Interface. Эта функциональность позволит встраивать Solar inCode в ряд внешних систем, используемых в рамках процесса безопасной разработки.

В совокупности это позволит наладить непрерывный процесс контроля качества, автоматизировать проверку защищенности сборок ПО и сократить временные затраты на процесс целиком, считают в Solar Security.

Кроме того, в Solar inCode 2.8 расширен список правил поиска уязвимостей, а также добавлены их расширенные описания, которые помогут пользователям, не имеющим глубокой технической экспертизы, корректно интерпретировать данные отчетов.

Выпуск версии 2.7

1 февраля 2018 года компания Solar Security сообщила о выпуске очередной версии решения Solar inCode с поддержкой статического анализа кода бинарных файлов для mac OS.

Отличием Solar inCode является возможность статического анализа исполняемых с автоматическим восстановлением высокоуровневого кода (.apk-, .jar-, .war-, .ipa-, .exe- и .dll-файлы). В целях усиления данного отличия в версии Solar inCode 2.7 реализован модуль анализа исполняемых файлов приложений для операционной системы macOS (расширение .app).

«Семейство операционных систем macOS – второе по распространенности для десктопов после Windows, поэтому статический анализ бинарных файлов для ОС от Apple – важный шаг в развитии продукта. В ближайших версиях Solar inCode мы планируем сфокусироваться на дальнейшем развитии этой функциональности».


Даниил Чернов, руководитель направления Solar inCode компании Solar Security

Еще одно отличие Solar inCode – простой и удобный интерфейс. Благодаря продуманной логике взаимодействия с пользователем он интуитивно понятен и не требует дополнительного времени на изучение. Запуск сканирования осуществляется в два клика, а визуальное представление отчетов реализовано так, чтобы они были информативными и для пользователя без навыков программной разработки.

«Самый удобный интерфейс нуждается в постоянном развитии – как с точки зрения графического дизайна, так и с позиций эргономики и просто соответствия последним тенденциям в этой области. Поэтому мы внесли в интерфейс Solar inCode 2.7 ряд изменений, доработав визуальное решение страниц проектов и результатов, кнопки быстрых действий, добавив индикатор выполнения сканирования».


Даниил Чернов, руководитель направления Solar inCode компании Solar Security

Также в версии Solar inCode 2.7 добавлены правила для поиска уязвимостей и улучшены алгоритмы анализа при поиске уязвимостей для языков Java/Scala и Java for Android.

Отчеты о сканированиях можно выгружать в соответствии с классификацией уязвимостей OWASP Top 10 2017. Найденные уязвимости могут быть ранжированы в соответствии с OWASP Mobile Top 10 2016, PCI DSS и HIPAA, что упрощает задачу по соответствию требованиям регуляторов.

2017

Выпуск версии 2.6

Компания Solar Security 17 октября 2017 года представила очередную версию Solar inCode. Ключевым обновлением версии 2.6 стала поддержка языка программирования Solidity, который используется для создания смарт-контрактов, предназначенных для заключения сделок в рамках технологии блокчейн.

Смарт-контакты опасны тем, что популярность этих инструментов опережает их защищенность, при том что в случае успешной атаки пользователи могут потерять реальные деньги. Поэтому мы считаем важным быстро адаптировать Solar inCode к изменяющимся потребностям рынка, — подчеркнул Даниил Чернов, руководитель направления Solar inCode компании Solar Security.

Кроме того, Solar inCode теперь умеет искать ошибки и уязвимости в HTML5, что позволяет разработчикам быть уверенными не только в современности и удобстве, но и в защищенности создаваемых веб-приложений.

Технология анализа приложений, написанных на C/C++, также была улучшена и доработана. Анализ исходного кода теперь поддерживает сборку проектов с помощью Visual Studio, а база правил поиска уязвимостей была расширена. Также дополнена база правил поиска уязвимостей для языков ABAP и Delphi.

В то же время, в версии 2.6 впервые реализована возможность загружать с локального компьютера проект в виде архива с расширениями .7z, .ear, .aar, .rar, .tar.bz2, .tar.gz, .tar, .cpio. В рамках повышения общего уровня usability интерфейс решения также дополнительно доработан.

Еще одно важное направление — легкое встраивание Solar inCode в процесс безопасной разработки приложений (SDLC) — получило поддержку в виде плагина к серверу непрерывной интеграции Jenkins и возможности отслеживать статус сканирования по электронной почте.

При этом отчеты о сканированиях теперь можно выгружать в соответствии с классификацией уязвимостей по HIPAA — в дополнение к классификациям OWASP Top 10 2013, OWASP Mobile Top 10 2014, OWASP Mobile Top 10 2016 и PCI DSS, что упрощает разработчикам задачу по соответствию нормам и стандартам регуляторов.

Выпуск версии 2.4

12 июля 2017 года компания Solar Security объявила о выходе версии 2.4 сканера кода Solar inCode.

Разработчики усовершенствовали технологии работы с уже поддерживаемыми языками программирования и добавили поддержку новых[1].

В Solar inCode 2.4 расширены базы правил поиска уязвимостей для бинарного кода C/С++ (.exe- и .dll-файлы). Список поддерживаемых языков программирования дополнился Delphi и ABAP (Advanced Business Application Programming), который используется для разработки приложений под платформу SAP. Поддержка ABAP позволит компаниям контролировать уровень защищенности бизнес-приложений SAP. Solar inCode оптимизирован для интеграции в процесс безопасной разработки приложений (SDLC), версия 2.4 помогает заказчикам повысить уровень безопасности приложений под SAP, не меняя привычные процессы разработки и тестирования.

Ранние версии продукта поддерживали преимущественно языки разработки мобильных и веб-приложений. Постепенно мы дополняли этот список, чтобы расширить пул решений, с которыми может работать Solar inCode. За такой функциональностью, как возможность сканирования кода на языке ABAP или бинарного кода C/С++ стоят серьезные научно-технические исследования, и мы рады, что они наконец нашли практическое воплощение в Solar inCode.


Даниил Чернов, руководитель направления Solar inCode компании Solar Security

Процесс работы решения в рамках SDLC оптимизирован для повышения уровня автоматизации. Solar inCode 2.4 позволяет производить сравнение результатов сканирования и отслеживать количество устраненных уязвимостей. Это упрощает контроль защищенности разрабатываемого ПО и делает работу с Solar inCode удобнее и интуитивно понятнее.

В версии появилась диаграмма распространения данных (трассы) для уязвимостей Java/Scala- и Android-приложений.

Специально для разработчиков мобильных приложений в Solar inCode 2.4 в дополнение к OWASP и PCI DSS реализована возможность выгрузки отчетов согласно классификации уязвимостей OWASP Mobile Top 10 2016.

Интерфейс Solar inCode 2.4 усовершенствован, чтобы процесс работы с продуктом был интуитивно понятным.

Solar Security следует идеологии, в соответствии с которой даже самые сложные технологии должны быть представлены пользователям через простые и понятные интерфейсы. Поэтому оптимизация и доработка интерфейса Solar inCode ведутся постоянно, от версии к версии. Нам очень важно, чтобы и разработчик, и безопасник могли с одинаковой легкостью использовать этот инструмент проверки уровня защищенности кода.


Даниил Чернов

Solar inCode 2.3

19 апреля 2017 года компания Solar Security заявила о выпуске версии сканера кода Solar inCode 2.3. Основные особенности — «коробочная» интеграция с JIRA, анализ мультиязычных приложений и модуль бинарного анализа приложений на C/C++.

Solar inCode 2.3 выполняет статический анализ .exe- и .dll-файлов, написанных на С/С++ для архитектуры х64 и х86. Эта функциональность Solar inCode 2.3 позволит службе безопасности проверять уровень защищенности используемых в компании приложений без доступа к исходному коду — в случаях с так называемым «унаследованным ПО» или приложениями, разработка которых отдана на аутсорсинг[2].

Мы фокусируемся на усилении возможности анализировать приложения без доступа к исходному коду. Очередным шагом в этом направлении стал статический анализ .exe- и .dll-файлов, написанных на С/С++. Мы получали от клиентов много запросов на функциональность, но ввиду специфики языков С/С++ реализовать ее в продукте было достаточно сложно. У нас ушло много времени на исследования и разработку.


Даниил Чернов, руководитель направления Solar inCode компании Solar Security

Если в приложении используется несколько языков программирования, Solar inCode 2.3 автоматически определит их и сканирует приложение в обычном режиме. При этом пользователь может выбрать - сканировать приложение целиком или только часть кода на определенном языке.

Solar inCode 2.3 предлагает пользователям коробочную интеграцию с JIRA. После сканирования приложения пользователь может сразу создать задачу по исправлению найденных уязвимостей - через интерфейс Solar inCode.

В этой версии содержится ряд доработок имеющейся функциональности: в Solar inCode 2.3 появились новые описания уязвимостей, правила поиска уязвимостей для поддерживаемых языков программирования. Алгоритмы анализа потоков данных при поиске уязвимостей для языка PHP также дополнительно оптимизированы.

Усовершенствования затронули интерфейс Solar inCode 2.3.

Solar inCode 2.2

7 февраля 2017 года компания Solar Security объявила о выходе версии Solar inCode. Основное усовершенствование в этой версии - модули динамического и интерактивного анализа (DAST/IAST) с двумя режимами работы — fuzzing-методов и fuzzing-запросов.

Сейчас, когда продукт вышел на определенный уровень зрелости, мы определяем направления развития, исходя из потребностей наших клиентов. Это касается списка поддерживаемых языков, отчетности, интерфейса, новых технологий и так далее. Несмотря на сложность технологий, лежащих в основе Solar inCode, мы, как и раньше, стремимся сделать использование продукта простым и понятным, в том числе для сотрудников безопасности, у которых не всегда есть опыт разработки.


Даниил Чернов, руководитель направления Solar inCode компании Solar Security

В этой версии расширен список поддерживаемых языков программирования:

  • C/C++ (в том числе с использованием OpenMP),
  • Ruby,
  • T-SQL
  • Visual Basic 6.0.

В состав Solar inCode 2.2 вошли правила поиска уязвимостей для языков программирования, поддерживаемых в ранних версиях — Java, Scala, PHP, Objective-C, Java for Android, JavaScript, Swift, Python 2, Python 3, PL/SQL и C# [3].

Solar inCode 2.2 предлагает расширенные возможности анализа iOS-приложений. Поддержка языка программирования Swift 3, интеграция со средой разработки XCode 8 и компилятором Apple Clang 8.0 обеспечивают максимальный охват iOS-приложений, доступных для анализа, подчеркнули в Solar Security. Модуль загрузки iOS-приложений из App Store поддерживает все актуальные версии операционной системы iOS.

Результаты сканирования можно выгружать, приоритизируя уязвимости согласно классификации OWASP Top 10 2013, OWASP Mobile Top 10 2014 или PCI DSS 3.2.

В версии 2.2 разработчики уделили внимание развитию аналитических инструментов. Встроенный модуль межпроектной аналитики позволяет объединять проекты в группы для получения совокупной информации по проектам в рамках группы. Пользователям доступна статистика по количеству операций сканирования, времени сканирования, количеству строк кода, рейтингу безопасности и количеству уязвимостей с выбором уровня критичности. Все показатели могут представляться в виде графиков, отражающих динамику изменений.

С версии 2.2 продукт совместим с операционными системами CentOS и macOS.

2016

Solar inCode SaaS

26 октября 2016 года компания Solar Security объявила о предоставлении выводе Solar inCode в доступ по модели Software-as-a-Service (SaaS).

Solar inCode в облачном формате ориентирован на компании, где потребности в проверке безопасности кода приложений возникают время от времени[4].

Скриншот из презентации Solar inCode, (2015)

Solar inCode из "облака" — это, по сути, enterprise-решение в розничной конфигурации. Компании, которым не подходят стандартные лицензии на большое число сканирований, раньше не могли воспользоваться нашим продуктом. Теперь мы готовы предложить Solar inCode и этой категории заказчиков, что позволит популяризовать саму технологию и повысить уровень защищенности российских компаний.


Даниил Чернов, руководитель направления Solar inCode компании Solar Security

Solar inCode 2.0 — технология для проверки безопасности приложений методом статического анализа, которое функционирует при наличии у проверяющего исходного кода и при отсутствии доступа к нему. Solar inCode 2.0 помогает выявить уязвимости и незадекларированные возможности в программном обеспечении. Решение способно анализировать наиболее распространенные языки программирования, все мобильные и большинство веб-приложений.

Solar inCode 2.0

Solar Security, разработчик продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, выпустила летом 2016 года обновление Solar inCode — решения, способного проверять безопасность приложений методом статического анализа даже при отсутствии исходного кода. Solar inCode 2.0 предлагает расширенный список анализируемых языков, интуитивно понятный пользовательский интерфейс, а также оптимизированные технологии выявления уязвимостей и недекларированных возможностей в программном обеспечении.

По словам разработчиков, большое число изменений в данной версии Solar inCode направлено на упрощение логики взаимодействия с пользователем. Дизайн интерфейса был переработан и улучшен так, что интерпретация данных, полученных от Solar inCode, больше не требует от пользователя глубокой технической экспертизы.

В дополнение к языкам программирования Java, Scala, PHP, Objective C, Java for Android, поддержка которых была реализована в первой версии решения, Solar inCode 2.0 теперь анализирует приложения, написанные на JavaScript, Swift, Python 2, Python 3, PL/SQL и C#. Таким образом, решение охватывает наиболее распространенные языки программирования и способно анализировать все мобильные и большинство веб-приложений.

Для упрощения работы в ходе регулярных проверок кода Solar inCode 2.0 позволяет редактировать правила поиска уязвимостей и отмечать ложные срабатывания. Такое обучение позволяет создавать развитые механизмы выявления ложноположительных срабатываний, а также определять новые типы уязвимостей и недекларированных возможностей.

Интерфейс Solar inCode, помимо русского, теперь локализован и на английский язык. Кроме того, в соответствии с пожеланиями пользователей в новой версии добавлена возможность работы через командную строку. Пользователи могут автоматизировать проверку новых сборок ПО и, как следствие, встроить Solar inCode в процесс безопасной разработки (SDLC). Новая версия также позволяет разграничить доступ пользователей к ПО, чтобы каждый разработчик мог контролировать уровень безопасности и наличие ошибок только в своей части проекта.

«В первой версии продукта акцент был сделан на технологиях деобфускации и декомпиляции, а также на системе отчетности с подробными рекомендациями по устранению найденных уязвимостей, — рассказал Чернов Даниил, руководитель направления Solar inCode компании Solar Security. — Вторая версия Solar inCode, помимо инновационных методов анализа ПО, предлагает простой, удобный и понятный интерфейс, что делает решение доступным для максимального числа пользователей и выводит его на новые сегменты рынка».

2015

Релиз Solar inCode

29 октября 2015 года компания Solar Security объявила о выпуске продукта для анализа программного обеспечения.

Анализ приложений проводится методом «белого ящика» и при отсутствии исходного кода. Технологии деобфускации и декомпиляции, реализованные в Solar inCode, позволяют восстановить исходный код с высокой степенью точности, даже если к нему применили обфусцирующие (запутывающие) преобразования. Для повышения качества анализа кода используются четыре различных технологических решения, включая taint-анализ, для снижения количества ложных срабатываний – технологический модуль Fuzzy Logic Engine с авторскими алгоритмами фильтрации уязвимостей.

«Можно сказать, что inCode – это продукт, в котором научная мысль нашла свое достойное техническое воплощение. В команде разработки три кандидата наук, двое из которых защитили свои диссертации по декомпиляции кода, поэтому заложенные в продукт технологии дают принципиально новый уровень его использования: как с точки зрения удобства, так и с точки зрения эффективности оценки защищенности приложений», – отметил Даниил Чернов, руководитель направления inCode компании Solar Security.

Solar inCode создан как инструмент для специалистов по безопасности - продукт выдает детальные рекомендации по настройке наложенных средств защиты (SIEM, WAF, NGFW), блокирующих возможности эксплуатации уязвимостей до их устранения. Для разработчиков же предусмотрены отчеты с описанием выявленных уязвимостей со ссылками на соответствующие участки кода и рекомендации по их устранению путем внесения изменений в код, что существенно упрощает задачи разработки.

На 29 октября 2015 года Solar inCode позволяет анализировать онлайн и мобильные приложения, написанные на самых популярных языках: Java, Scala, PHP, Objective C, Java for Android. В планах по развитию продукта расширение списка анализируемых языков: JavaScript, PL/SQL, и С#.

«За последнее время риски эксплуатации уязвимостей программного кода значительно выросли, – заявил Игорь Ляпунов, генеральный директор Solar Security, – по нашим данным, которые содержат отчеты JSOC, более 60 % успешных кибератак, нацеленных на внешние бизнес-приложения, реализуются через уязвимости в ПО. При том, что тема безопасности приложений достаточно нова, большинство профессионалов в области безопасности понимают, что от качества кода стала напрямую зависеть защищенность информации, денег, а подчас и целых компаний».

Solar inCode

На 29 октября 2015 года Solar inCode - инструмент статического анализа кода, предназначен для выявления уязвимостей и не декларированных возможностей (НДВ) в программном обеспечении.

Примечания

  1. Solar Security представила новую версию сканера кода Solar inCode
  2. Solar inCode 2.3 получил интеграцию с JIRA и модуль анализа приложений на С/С++
  3. Вышла новая версия Solar inCode с модулями динамического и интерактивного анализа
  4. Solar inCode для анализа безопасности приложений стал доступен по модели SaaS
Анализ
×