Solar appScreener 3.15.5 поддерживает анализ кода согласно национальному стандарту ГОСТ 71207-2024

Группа компаний «Солар», архитектор комплексной кибербезопасности, выпустила новую версию платформы Solar appScreener, предназначенной для контроля безопасности приложений на уровне кода. В релизе 3.15.5 реализованы несколько обновлений, которые улучшают пользовательский опыт IT-разработчиков и расширяют функционал модуля статического анализа кода (SAST). Теперь все найденные уязвимости классифицируются по требованиям ГОСТ 71207-2024, регулирующим требования к безопасной разработке.

В ГОСТ Р 71207–2024 введен термин «Критическая ошибка в программе» (п. 3.1.13.), эта ошибка может привести к нарушению безопасности обрабатываемой информации. В частности, классификация по ГОСТ включает такие категории, как: ошибки непроверенного использования чувствительных данных, некорректное использование процедур безопасности и другие критические дефекты, которые могут привести к уязвимостям и нарушениям безопасности.

По данным ГК «Солар», более 50% веб-приложений российских компаний содержат уязвимости, при этом 56% от выявленных уязвимостей относятся к критичным и особо критичным. Например, в финансовых веб-приложениях чаще всего выявляются уязвимости, связанные с недостатками контроля доступом, межсайтовый скриптинг (XSS), недостаточный уровень шифрования, небезопасная обработка или хранение конфиденциальной информации (номера банковских карт, пароли, персональные данные). По оценке аналитиков «Солара», в 2024 году уязвимости веб-приложений также стали причиной 40% инцидентов, связанных с утечками данных.

Лев Арманшин

менеджер по развитию бизнеса ПО Solar appScreener

«Требования к безопасной разработке становятся жестче по ряду причин. Важную роль играет баланс в скорости разработки, как быстро компания реагирует на запросы рынка, и информационной безопасностью «софта». Второй фактор, влияющий на рынок разработки ПО в России, — это позиция регуляторов рынка. Цена ошибки растет, ведь один успешный взлом приложения может привести к высоким штрафам или негативно сказаться на репутации компании. В случае с госорганизацией, корпорацией, или компанией, которая сотрудничает с госсектором, на кону стоит доверие к продукту, который разрабатывается для миллионов пользователей».

Новый функционал классификации уязвимостей по требованиям ГОСТ 71207 интегрирован в интерфейс Solar AppScreener: достаточно запустить сканирование, и в отчёте каждая уязвимость получит код и описание класса. Для каждого класса указываются рекомендации по снижению рисков, примерные сроки устранения и потенциальное влияние на уровень безопасности продукта. Таким образом разработчики могут определить степень критичности уязвимости и расставить приоритеты в её устранении. Тип уязвимости можно проверить в подробных результатах и в отчете при выборе способа классификации «ГОСТ Р 71207–2024». Соответствие доступно для правил Java, Scala, Kotlin, Python, С/C++, Java Script,GO и C#.

Эксперты «Солара» также отмечают, что использование модуля статического анализа SAST позволит IT-командам выстроить процесс разработки согласно национальным стандартам ИБ, внедрить единую терминологию для внешних и внутренних аудитов и сформировать прозрачную отчетность для заказчиков и регуляторов отрасли.

Solar appScreener включает несколько модулей, доступных в двух версиях продукта. В версии on-premise доступен полный функционал для комплексной разработки приложений на основе технологий статического, динамического анализа, анализа состава и цепочки поставок ПО (SAST, DAST, OSA). Комбинированный анализ SAST/OSA выявляет использование уязвимых функций сторонних компонентов в проекте, их источник и снижает количество ложных срабатываний. Таким образом решение оптимизирует процесс DevSecOps за счет более эффективного использования ресурсов.

Для небольших IT-компаний и команд разработки также доступна специальная «облачная» версия, в которой доступен SCA-модуль, позволяющий анализировать используемые Open Source-библиотеки и зависимости на наличие уязвимостей и снижать риск использования уязвимых компонентов в коде приложения. Также в модуль включен анализ лицензионных рисков, который отслеживает политики при использовании, информирует о критичности использования той или иной библиотеки. Дополнительный SCS-модуль позволяет оценить риски использования компонентов, в которых нет выявленных уязвимостей на текущий момент, и проанализировать каждый компонент по ряду параметров — от версионности и популярности до «поведения» авторов (публичные высказывания, повышающие риск появления недекларированных возможностей, НДВ).

Solar appScreener входит в Реестр российского ПО Минцифры России, поддерживает необходимые стандарты по обеспечению кибербезопасности, включая ГОСТ Р 56939-2016, ГОСТ Р 56939-2024, приказ ФСТЭК №239.