ГК «Солар», архитектор комплексной безопасности, сообщает о выходе новой версии решения для контроля безопасности приложений Solar appScreener. Ключевые доработки этой версии связаны с качественными изменениями в модуле для анализа сторонних компонентов SCA, снижением ложных срабатываний и интеграцией с решениями класса ASOC.

В версии 3.14.9 появился комбинированный анализ SCA и SAST для языков Java, Python, JavaScript, Go, C#, список будет расширяться. Он позволяет не только обнаруживать уязвимости в сторонних библиотеках, но и визуализирует трассу вызовов этих библиотек в коде. Это помогает определить, какие уязвимости реальные, и сэкономить время разработчиков на их верификацию.

В обновленной версии Solar appScreener модуль SCA (Software Composition Analysis) обнаруживает все сторонние компоненты, используя собственную базу уязвимостей, которая регулярно обновляется экспертами ГК «Солар». Для минимизации количества ложных срабатываний применяется собственная технология Fuzzy Logic Engine, которая позволяет приоритизировать выявленные уязвимости на основе рейтинга EPSS.

Также появилось больше полезной информации об уязвимых компонентах. Теперь пользователи получают сведения об уязвимых версиях библиотек, ссылки на полезные ресурсы и расширенный маппинг с учетом отечественных стандартов классификации уязвимостей. Кроме того, добавлено дерево зависимостей — интерактивный граф, наглядно демонстрирующий структуру компонентов в проекте.

«Использование приложений и библиотек с открытым исходным кодом значительно возросло в последнее время. Согласно Linux Foundation, от 70% до 90% современных приложений содержат ПО с открытым исходным кодом, что открывает перед киберпреступниками широкие возможности для атак. Один из последних ярких примеров — бэкдор в популярной утилите XZ Utils для Linux, который позволяет получить несанкционированный удаленный доступ ко всей системе, — отмечает Антон Прокофьев, эксперт по контролю безопасности ПО Solar appScreener ГК „Солар“. — Поскольку открытый исходный код в равной степени доступен всем, включая злоумышленников, это создает серьезный риск целенаправленного внедрения уязвимостей в open source-библиотеки. Таким образом, сегодня крайне важно проверять на наличие уязвимостей не только собственный код, но и сторонние компоненты».

Другое нововведение версии 3.14.9 — объединение всех технологий анализа сторонних компонентов (SCA, SCS, анализ лицензионных рисков, комбинированный анализ SAST и SCA) в единый модуль OSA (Open Source Analysis). Модуль OSA в Solar appScreener представляет собой комплекс инструментов нового уровня, сочетающий в себе зрелые технологии и собственную базу уязвимостей. Теперь все технологии анализа сторонних компонентов можно найти в единой вкладке в интерфейсе, а запуск сканирований будет более удобным и прозрачным.

Появилась возможность интеграции решений для оркестрации безопасности приложений (ASOC) — DefectDojo и AppSecHub. Эти платформы объединяют результаты нескольких анализаторов в единый интерфейс, обеспечивая командам разработчиков и специалистам по безопасности полную картину состояния безопасности приложений. Благодаря этим инструментам пользователи Solar appScreener могут работать с результатами всех типов анализа в одном интерфейсе.

Обновленная версия продукта поддерживает стандарты OWASP ASVS, OWASP MASVS, CWE/SANS Top 25 2023. Теперь пользователи могут формировать отчеты в соответствии с этими международными классификациями. Также реализована возможность сборки Java-проектов из исходного кода собственными инструментами, что упрощает сборку кода для более глубокого анализа. Это повышает качество анализа и дает большую гибкость при автоматизации процесса безопасной разработки.

В дополнение к ранее упомянутым разработкам, в новой версии реализован ряд улучшений для повышения удобства работы пользователя с системой. Например, появилась новая системная роль «Модератор» и шаблоны ролей. В настройки была внесена функция ручного удаления проектов и сканирований. Кроме того, значительно улучшен этап предобработки кода для статического анализа. Этот этап оптимизирует загружаемые пользователем файлы и преобразует их в удобный для чтения формат. Это позволяет устранить проблемы с анализом, которые могут возникать из-за загрузки больших файлов. Предобработка помогает сделать код понятным и облегчает выявление проблем. Также в версии 3.14.9 реализовали поддержку плагинов Jenkins, TeamCity, Azure и CLT для модулей DAST и OSA.

Solar appScreener остается мировым лидером по количеству поддерживаемых языков — сегодня их 36. Сканер автоматически определяет язык, на котором написан код, а также может проверять программы, написанные сразу на нескольких языках. Обновленная версия пополнилась новыми правилами поиска уязвимостей для 15 языков программирования, в том числе 1C, PHP, Python и др.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

АО «НТЦ ИТ РОСА» и «Солар» защищают работу привилегированных пользователей в виртуальной среде

АО «НТЦ ИТ РОСА» и «Солар» защищают работу привилегированных пользователей в виртуальной среде

Узнать больше
Праздник к ним приходит: как Santa Stealer ворует для хакеров аккаунты Roblox, криптовалютные активы и корпоративные секреты

Праздник к ним приходит: как Santa Stealer ворует для хакеров аккаунты Roblox, криптовалютные активы и корпоративные секреты

Узнать больше
«Солар» и ShiftLeft Security объявили об интеграции решений  по безопасной разработке

«Солар» и ShiftLeft Security объявили об интеграции решений по безопасной разработке

Узнать больше
Солар» и «Тантор Лабс» подтвердили совместимость Solar SafeInspect с СУБД Tantor Postgres в рамках программы Ready for Astra

Солар» и «Тантор Лабс» подтвердили совместимость Solar SafeInspect с СУБД Tantor Postgres в рамках программы Ready for Astra

Узнать больше
«Солар» и «РуПост» подтвердили совместимость DLP-системы и почтового сервера

«Солар» и «РуПост» подтвердили совместимость DLP-системы и почтового сервера

Узнать больше
Безопасность на скорости кода: ИИ-триаж и кодфикс в Solar appScreener 3.16 в 10 раз увеличивают емкость команды AppSec

Безопасность на скорости кода: ИИ-триаж и кодфикс в Solar appScreener 3.16 в 10 раз увеличивают емкость команды AppSec

Узнать больше
Как СМБСР Банк перешел на комплексную защиту «Солара»: от управления доступом до обучения сотрудников

Как СМБСР Банк перешел на комплексную защиту «Солара»: от управления доступом до обучения сотрудников

Узнать больше
«Солар» и УЦСБ: 40% компаний отмечают критичные риски генеративного ИИ для безопасности приложений

«Солар» и УЦСБ: 40% компаний отмечают критичные риски генеративного ИИ для безопасности приложений

Узнать больше
Проект построения киберустойчивости Почты России отмечен премией «Приоритет: Цифра-2026»

Проект построения киберустойчивости Почты России отмечен премией «Приоритет: Цифра-2026»

Узнать больше
«Солар»: мошенники отреагировали на введение топливных лимитов

«Солар»: мошенники отреагировали на введение топливных лимитов

Узнать больше