«Солар»: комплексная кибербезопасность для финансового сектора на форуме Банка России в Екатеринбурге
Узнать большеГК «Солар», архитектор комплексной кибербезопасности, выпустила обновленную версию Solar appScreener. Функционал платформы для анализа кода позволяет оптимизировать процесс DevSecOps за счет более эффективного использования ресурсов. Так, крупные компании софтверной индустрии, разработчики специализированного ПО для финтех и e-commerce-сектора смогут снизить ТСО на безопасную разработку до 15%. Эти данные получены на основе опроса среди заказчиков, которые используют Solar appScreener на постоянной основе.
Внедрение решений для анализа кода в процесс разработки снижает риски самых распространенных уязвимостей мобильных и веб-приложений. По данным Центра исследования киберугроз Solar 4RAYS за первое полугодие 2024 года, 43% хакерских проникновений в инфраструктуру компаний происходили через уязвимости в корпоративных приложениях. В списке критичных уязвимостей лидируют недостатки контроля доступа (75% и 60% для веб- и мобильных приложений соответственно), раскрытие отладочной и конфигурационной информации (73% и 60%), межсайтовые скрипты (XSS), раскрытие информации в исходном коде мобильных приложений (33% случаев).
«По оценкам экспертов рынка IT-разработки, стоимость владения ПО в корпоративном сегменте растет примерно на 10-20% в год. На этот фактор влияют сложности с закупкой оборудования, инвестиции в импортозамещение и дефицит кадров, которые в свою очередь также увеличивают себестоимость IT-продуктов. Поэтому при доработке Solar appScreener мы сделали ставку на возможности оптимизации – ресурсов сотрудников и времени – без потери качества и безопасности кода. Пользователи могут встроить наш продукт в общий цикл разработки, снизив риски, связанные с использованием систем и приложений, обеспечить их надежность и защиту данных конечных пользователей», — говорит Владимир Высоцкий, руководитель развития бизнеса ПО Solar appScreener.
Управление агентами сканирования в Solar appScreener позволяет IT-командам, которые работают над несколькими приложениями или проектами, приоритизировать и одновременно загружать на анализ кода несколько проектов в зависимости от их значимости и масштаба.
Разработчики также оптимизировали модули анализа, в том числе и по использованию ресурсов, что крайне актуально для создания масштабных проектов в миллионы строк кода. На синтетически тестах было отмечено снижение времени сканирования от 15 до 35%.
Переработанный дистрибутив упрощает установку системы и снижает требования к навыкам специалистов по анализу кода. Для ускорения процессов DevSecOps добавлены ограничения по глубине анализа кода, например, анализ только прямых зависимостей или отключение перекрестных библиотек с помощью SAST-анализа.
В новой версии Solar appScreener также усовершенствованы модули статического и динамического анализа кода. В базу SAST-модуля добавлены 500 новых правил поиска уязвимостей, в модуле DAST внедрены новые возможности авторизации в тестируемом ПО – протоколы сетевой аутентификации NTLM и расширенные API-спецификации.
С выходом нового релиза «Солар» обновил лицензионную политику для пользователей. Теперь работа с результатами анализа текущих проектов доступна независимо от состояния лицензии. Таким образом команды разработки могут снизить простои в случае временного прекращения лицензии. При продлении лицензии разработчикам доступна полная функциональность без потери данных.
Solar appScreener — комплексное решение для контроля безопасности приложений, сочетающее в едином интерфейсе статический, динамический анализ, анализ состава ПО и анализ безопасности сторонних компонентов ПО (SAST, DAST, OSA). Продукт может использоваться как для отдельных проверок кода, так и в качестве центрального элемента цикла безопасной разработки.
Анализатор поддерживает 36 языков программирования. Кроме базы правил поиска уязвимостей, которая регулярно обновляется, в Solar appScreener предусмотрена возможность создания своих собственных правил поиска. Их можно создать при помощи функций инструмента и применить при анализе проектов. Продукт сертифицирован ФСТЭК России, внесен в Единый реестр отечественного ПО и может интегрироваться с другими системами для встраивания в цикл безопасной разработки.
