По данным центра исследования киберугроз Solar 4RAYS за первое полугодие 2024 года, 43% хакерских проникновений в инфраструктуру компаний происходили через уязвимости в корпоративных приложениях. Эксперты ГК «Солар» рекомендуют компаниям использовать принципы безопасной разработки ПО для минимизации рисков информационной безопасности, а также проводить регулярный аудит уязвимостей и как можно оперативнее их закрывать.

Зачастую организации недооценивают значимость так называемых «некритичных» уязвимостей, которые позволяют раскрыть сведения о внутренней структуре системы (OWASP A3:2017-Sensitive Data Exposure). Это, в свою очередь, создает условия для планирования целенаправленных атак. Другая распространенная ошибка — невнимание к обработке файлов cookie и заголовков (OWASP A6:2017-Security Misconfiguration, A5:2017-Broken Access Control), что может привести к подмене данных пользователя. В то же время более критичные уязвимости компании обычно выявляют на этапе тестирования приложений или устраняют с помощью дополнительных средств защиты.

Эксперты Solar appScreener отмечают, что до 90% программного кода состоит из готовых open-source компонентов, и в большей части в них содержатся уязвимости и дефекты, позволяющие получить несанкционированный доступ к информации. В современных реалиях использование open-source программного обеспечения и публичных репозиториев требует обязательного контроля безопасности кода как основных компонентов, так и зависимостей. Если компания этого не делает при разработке веб-приложений, вредоносный код рано или поздно проникнет в коммерческое ПО.

Еще одна проблема российских приложений заключается в том, что многие компании создают веб-версии и мобильные приложения на одном и том же интерфейсе, используя схему с одним бэкендом. Таким образом они экономят на разработке, тестировании и технической поддержке, однако под угрозу ставится безопасность.

Избежать взломов через приложения, а также сопряженных финансовых и репутационных потерь помогут принципы безопасной разработки. Это подход, при котором еще на ранних стадиях написания кода, тестирования и эксплуатации ПО выявляются уязвимости, которые могут быть использованы злоумышленниками после выпуска продукта.

«Эксплуатация уязвимостей в веб-приложениях уже не первый год входит в тройку наиболее популярных векторов атак на организации. Эта тенденция будет только усиливаться. Все больше российских разработчиков ПО осознают серьезность киберугроз и изначально включают принципы безопасности в свои процессы разработки. В современной IT-индустрии понимают: выгоднее и эффективнее устранять уязвимости на ранних этапах разработки, чем потом бороться с последствиями атак», — комментирует Антон Прокофьев, эксперт по контролю безопасности ПО Solar appScreener ГК «Солар».

К инструментам безопасной разработки ПО относятся средства статического анализа кода, динамического анализа, средства анализа сторонних компонентов. Например, решение Solar appScreener содержит все эти виды анализа и позволяет обнаруживает сторонние компоненты, используя собственную базу уязвимостей, которая регулярно обновляется.

Solar appScreener может использоваться как для отдельных проверок кода, так и в качестве центрального элемента цикла безопасной разработки. Анализатор поддерживает 36 языков программирования, что делает его мировым лидером в этой области. Кроме базы правил поиска уязвимостей, которая регулярно обновляется, в Solar appScreener предусмотрена возможность создания своих собственных правил поиска. Их можно создать при помощи функций инструмента и применить при анализе проектов.

Solar appScreener — комплексное решение для контроля безопасности приложений, сочетающее в едином интерфейсе статический, динамический анализ, анализ состава ПО и анализ безопасности сторонних компонентов ПО (SAST, DAST, OSA). Продукт сертифицирован ФСТЭК России, внесен в Единый реестр отечественного ПО и может интегрироваться с другими системами для встраивания в цикл безопасной разработки.


ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

«Ростелеком» и «Солар» усилили защиту данных «Мосэнергосбыта» с помощью ГОСТ VPN

«Ростелеком» и «Солар» усилили защиту данных «Мосэнергосбыта» с помощью ГОСТ VPN

Узнать больше
Двойной юбилей: «Солар» отмечает знаковую дату всеобъемлющей программой участия в ЦИПР 2025

Двойной юбилей: «Солар» отмечает знаковую дату всеобъемлющей программой участия в ЦИПР 2025

Узнать больше
Первому игроку приготовиться: Webrat крадет личные данные любителей популярных видеоигр и пиратского ПО

Первому игроку приготовиться: Webrat крадет личные данные любителей популярных видеоигр и пиратского ПО

Узнать больше
26 стран мира примут участие в IV Международном киберчемпионате по информационной безопасности

26 стран мира примут участие в IV Международном киберчемпионате по информационной безопасности

Узнать больше
«Солар» запустил первый в РФ сервис защиты интернет-магазинов от веб-атак с финансовыми гарантиями

«Солар» запустил первый в РФ сервис защиты интернет-магазинов от веб-атак с финансовыми гарантиями

Узнать больше
Solar Dozor: за 25 лет – от пионера до ведущей DLP-системы

Solar Dozor: за 25 лет – от пионера до ведущей DLP-системы

Узнать больше
«Солар»: 85% российских компаний планируют киберучения для защиты инфраструктуры в 2025 году

«Солар»: 85% российских компаний планируют киберучения для защиты инфраструктуры в 2025 году

Узнать больше
«Солар» поможет быстро оценить готовность сотрудников компаний РФ к кибератакам

«Солар» поможет быстро оценить готовность сотрудников компаний РФ к кибератакам

Узнать больше
«Солар» выводит на рынок Solar inRights Origin с функцией нейропомощника, доступной ценой и коротким сроком внедрения

«Солар» выводит на рынок Solar inRights Origin с функцией нейропомощника, доступной ценой и коротким сроком внедрения

Узнать больше
«Солар» увеличил выручку на 34% до 3,1 млрд руб. в первом квартале 2025 года

«Солар» увеличил выручку на 34% до 3,1 млрд руб. в первом квартале 2025 года

Узнать больше