ГК «Солар», архитектор комплексной безопасности, сообщает о выходе новой версии решения для контроля безопасности приложений Solar appScreener. Ключевые доработки этой версии связаны с качественными изменениями в модуле для анализа сторонних компонентов SCA, снижением ложных срабатываний и интеграцией с решениями класса ASOC.

В версии 3.14.9 появился комбинированный анализ SCA и SAST для языков Java, Python, JavaScript, Go, C#, список будет расширяться. Он позволяет не только обнаруживать уязвимости в сторонних библиотеках, но и визуализирует трассу вызовов этих библиотек в коде. Это помогает определить, какие уязвимости реальные, и сэкономить время разработчиков на их верификацию.

В обновленной версии Solar appScreener модуль SCA (Software Composition Analysis) обнаруживает все сторонние компоненты, используя собственную базу уязвимостей, которая регулярно обновляется экспертами ГК «Солар». Для минимизации количества ложных срабатываний применяется собственная технология Fuzzy Logic Engine, которая позволяет приоритизировать выявленные уязвимости на основе рейтинга EPSS.

Также появилось больше полезной информации об уязвимых компонентах. Теперь пользователи получают сведения об уязвимых версиях библиотек, ссылки на полезные ресурсы и расширенный маппинг с учетом отечественных стандартов классификации уязвимостей. Кроме того, добавлено дерево зависимостей — интерактивный граф, наглядно демонстрирующий структуру компонентов в проекте.

«Использование приложений и библиотек с открытым исходным кодом значительно возросло в последнее время. Согласно Linux Foundation, от 70% до 90% современных приложений содержат ПО с открытым исходным кодом, что открывает перед киберпреступниками широкие возможности для атак. Один из последних ярких примеров — бэкдор в популярной утилите XZ Utils для Linux, который позволяет получить несанкционированный удаленный доступ ко всей системе, — отмечает Антон Прокофьев, эксперт по контролю безопасности ПО Solar appScreener ГК «Солар». — Поскольку открытый исходный код в равной степени доступен всем, включая злоумышленников, это создает серьезный риск целенаправленного внедрения уязвимостей в open source-библиотеки. Таким образом, сегодня крайне важно проверять на наличие уязвимостей не только собственный код, но и сторонние компоненты».

Другое нововведение версии 3.14.9 — объединение всех технологий анализа сторонних компонентов (SCA, SCS, анализ лицензионных рисков, комбинированный анализ SAST и SCA) в единый модуль OSA (Open Source Analysis). Модуль OSA в Solar appScreener представляет собой комплекс инструментов нового уровня, сочетающий в себе зрелые технологии и собственную базу уязвимостей. Теперь все технологии анализа сторонних компонентов можно найти в единой вкладке в интерфейсе, а запуск сканирований будет более удобным и прозрачным.

Появилась возможность интеграции решений для оркестрации безопасности приложений (ASOC) — DefectDojo и AppSecHub. Эти платформы объединяют результаты нескольких анализаторов в единый интерфейс, обеспечивая командам разработчиков и специалистам по безопасности полную картину состояния безопасности приложений. Благодаря этим инструментам пользователи Solar appScreener могут работать с результатами всех типов анализа в одном интерфейсе.

Обновленная версия продукта поддерживает стандарты OWASP ASVS, OWASP MASVS, CWE/SANS Top 25 2023. Теперь пользователи могут формировать отчеты в соответствии с этими международными классификациями. Также реализована возможность сборки Java-проектов из исходного кода собственными инструментами, что упрощает сборку кода для более глубокого анализа. Это повышает качество анализа и дает большую гибкость при автоматизации процесса безопасной разработки.

В дополнение к ранее упомянутым разработкам, в новой версии реализован ряд улучшений для повышения удобства работы пользователя с системой. Например, появилась новая системная роль «Модератор» и шаблоны ролей. В настройки была внесена функция ручного удаления проектов и сканирований. Кроме того, значительно улучшен этап предобработки кода для статического анализа. Этот этап оптимизирует загружаемые пользователем файлы и преобразует их в удобный для чтения формат. Это позволяет устранить проблемы с анализом, которые могут возникать из-за загрузки больших файлов. Предобработка помогает сделать код понятным и облегчает выявление проблем. Также в версии 3.14.9 реализовали поддержку плагинов Jenkins, TeamCity, Azure и CLT для модулей DAST и OSA.

Solar appScreener остается мировым лидером по количеству поддерживаемых языков – сегодня их 36. Сканер автоматически определяет язык, на котором написан код, а также может проверять программы, написанные сразу на нескольких языках. Обновленная версия пополнилась новыми правилами поиска уязвимостей для 15 языков программирования, в том числе 1C, PHP, Python и др.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

«Ростелеком» и «Солар» усилили защиту данных «Мосэнергосбыта» с помощью ГОСТ VPN

«Ростелеком» и «Солар» усилили защиту данных «Мосэнергосбыта» с помощью ГОСТ VPN

Узнать больше
Двойной юбилей: «Солар» отмечает знаковую дату всеобъемлющей программой участия в ЦИПР 2025

Двойной юбилей: «Солар» отмечает знаковую дату всеобъемлющей программой участия в ЦИПР 2025

Узнать больше
Первому игроку приготовиться: Webrat крадет личные данные любителей популярных видеоигр и пиратского ПО

Первому игроку приготовиться: Webrat крадет личные данные любителей популярных видеоигр и пиратского ПО

Узнать больше
26 стран мира примут участие в IV Международном киберчемпионате по информационной безопасности

26 стран мира примут участие в IV Международном киберчемпионате по информационной безопасности

Узнать больше
«Солар» запустил первый в РФ сервис защиты интернет-магазинов от веб-атак с финансовыми гарантиями

«Солар» запустил первый в РФ сервис защиты интернет-магазинов от веб-атак с финансовыми гарантиями

Узнать больше
Solar Dozor: за 25 лет – от пионера до ведущей DLP-системы

Solar Dozor: за 25 лет – от пионера до ведущей DLP-системы

Узнать больше
«Солар»: 85% российских компаний планируют киберучения для защиты инфраструктуры в 2025 году

«Солар»: 85% российских компаний планируют киберучения для защиты инфраструктуры в 2025 году

Узнать больше
«Солар» поможет быстро оценить готовность сотрудников компаний РФ к кибератакам

«Солар» поможет быстро оценить готовность сотрудников компаний РФ к кибератакам

Узнать больше
«Солар» выводит на рынок Solar inRights Origin с функцией нейропомощника, доступной ценой и коротким сроком внедрения

«Солар» выводит на рынок Solar inRights Origin с функцией нейропомощника, доступной ценой и коротким сроком внедрения

Узнать больше
«Солар» увеличил выручку на 34% до 3,1 млрд руб. в первом квартале 2025 года

«Солар» увеличил выручку на 34% до 3,1 млрд руб. в первом квартале 2025 года

Узнать больше