Группа компаний «Солар», архитектор комплексной кибербезопасности, выпустила новую версию платформы Solar appScreener, предназначенной для контроля безопасности приложений на уровне кода. В релизе 3.15.5 реализованы несколько обновлений, которые улучшают пользовательский опыт IT-разработчиков и расширяют функционал модуля статического анализа кода (SAST). Теперь все найденные уязвимости классифицируются по требованиям ГОСТ 71207-2024, регулирующим требования к безопасной разработке.

В ГОСТ Р 71207–2024 введен термин «Критическая ошибка в программе» (п. 3.1.13.), эта ошибка может привести к нарушению безопасности обрабатываемой информации. В частности, классификация по ГОСТ включает такие категории, как: ошибки непроверенного использования чувствительных данных, некорректное использование процедур безопасности и другие критические дефекты, которые могут привести к уязвимостям и нарушениям безопасности.

По данным ГК «Солар», более 50% веб-приложений российских компаний содержат уязвимости, при этом 56% от выявленных уязвимостей относятся к критичным и особо критичным. Например, в финансовых веб-приложениях чаще всего выявляются уязвимости, связанные с недостатками контроля доступом, межсайтовый скриптинг (XSS), недостаточный уровень шифрования, небезопасная обработка или хранение конфиденциальной информации (номера банковских карт, пароли, персональные данные). По оценке аналитиков «Солара», в 2024 году уязвимости веб-приложений также стали причиной 40% инцидентов, связанных с утечками данных.

Лев Арманшин

менеджер по развитию бизнеса ПО Solar appScreener

«Требования к безопасной разработке становятся жестче по ряду причин. Важную роль играет баланс в скорости разработки, как быстро компания реагирует на запросы рынка, и информационной безопасностью «софта». Второй фактор, влияющий на рынок разработки ПО в России, — это позиция регуляторов рынка. Цена ошибки растет, ведь один успешный взлом приложения может привести к высоким штрафам или негативно сказаться на репутации компании. В случае с госорганизацией, корпорацией, или компанией, которая сотрудничает с госсектором, на кону стоит доверие к продукту, который разрабатывается для миллионов пользователей».

Новый функционал классификации уязвимостей по требованиям ГОСТ 71207 интегрирован в интерфейс Solar AppScreener: достаточно запустить сканирование, и в отчёте каждая уязвимость получит код и описание класса. Для каждого класса указываются рекомендации по снижению рисков, примерные сроки устранения и потенциальное влияние на уровень безопасности продукта. Таким образом разработчики могут определить степень критичности уязвимости и расставить приоритеты в её устранении. Тип уязвимости можно проверить в подробных результатах и в отчете при выборе способа классификации «ГОСТ Р 71207–2024». Соответствие доступно для правил Java, Scala, Kotlin, Python, С/C++, Java Script,GO и C#.

Эксперты «Солара» также отмечают, что использование модуля статического анализа SAST позволит IT-командам выстроить процесс разработки согласно национальным стандартам ИБ, внедрить единую терминологию для внешних и внутренних аудитов и сформировать прозрачную отчетность для заказчиков и регуляторов отрасли.

Solar appScreener включает несколько модулей, доступных в двух версиях продукта. В версии on-premise доступен полный функционал для комплексной разработки приложений на основе технологий статического, динамического анализа, анализа состава и цепочки поставок ПО (SAST, DAST, OSA). Комбинированный анализ SAST/OSA выявляет использование уязвимых функций сторонних компонентов в проекте, их источник и снижает количество ложных срабатываний. Таким образом решение оптимизирует процесс DevSecOps за счет более эффективного использования ресурсов.

Для небольших IT-компаний и команд разработки также доступна специальная «облачная» версия, в которой доступен SCA-модуль, позволяющий анализировать используемые Open Source-библиотеки и зависимости на наличие уязвимостей и снижать риск использования уязвимых компонентов в коде приложения. Также в модуль включен анализ лицензионных рисков, который отслеживает политики при использовании, информирует о критичности использования той или иной библиотеки. Дополнительный SCS-модуль позволяет оценить риски использования компонентов, в которых нет выявленных уязвимостей на текущий момент, и проанализировать каждый компонент по ряду параметров — от версионности и популярности до «поведения» авторов (публичные высказывания, повышающие риск появления недекларированных возможностей, НДВ).

Solar appScreener входит в Реестр российского ПО Минцифры России, поддерживает необходимые стандарты по обеспечению кибербезопасности, включая ГОСТ Р 56939-2016, ГОСТ Р 56939-2024, приказ ФСТЭК №239.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Праздник к ним приходит: как Santa Stealer ворует для хакеров аккаунты Roblox, криптовалютные активы и корпоративные секреты

Праздник к ним приходит: как Santa Stealer ворует для хакеров аккаунты Roblox, криптовалютные активы и корпоративные секреты

Узнать больше
«Солар» и ShiftLeft Security объявили об интеграции решений  по безопасной разработке

«Солар» и ShiftLeft Security объявили об интеграции решений по безопасной разработке

Узнать больше
Солар» и «Тантор Лабс» подтвердили совместимость Solar SafeInspect с СУБД Tantor Postgres в рамках программы Ready for Astra

Солар» и «Тантор Лабс» подтвердили совместимость Solar SafeInspect с СУБД Tantor Postgres в рамках программы Ready for Astra

Узнать больше
«Солар» и «РуПост» подтвердили совместимость DLP-системы и почтового сервера

«Солар» и «РуПост» подтвердили совместимость DLP-системы и почтового сервера

Узнать больше
Безопасность на скорости кода: ИИ-триаж и кодфикс в Solar appScreener 3.16 в 10 раз увеличивают емкость команды AppSec

Безопасность на скорости кода: ИИ-триаж и кодфикс в Solar appScreener 3.16 в 10 раз увеличивают емкость команды AppSec

Узнать больше
Как СМБСР Банк перешел на комплексную защиту «Солара»: от управления доступом до обучения сотрудников

Как СМБСР Банк перешел на комплексную защиту «Солара»: от управления доступом до обучения сотрудников

Узнать больше
«Солар» и УЦСБ: 40% компаний отмечают критичные риски генеративного ИИ для безопасности приложений

«Солар» и УЦСБ: 40% компаний отмечают критичные риски генеративного ИИ для безопасности приложений

Узнать больше
Проект построения киберустойчивости Почты России отмечен премией «Приоритет: Цифра-2026»

Проект построения киберустойчивости Почты России отмечен премией «Приоритет: Цифра-2026»

Узнать больше
«Солар»: мошенники отреагировали на введение топливных лимитов

«Солар»: мошенники отреагировали на введение топливных лимитов

Узнать больше
«Солар» устранил «слепую зону» для привилегированных пользователей при переходе на СУБД «Ятоба» через PostgreSQL

«Солар» устранил «слепую зону» для привилегированных пользователей при переходе на СУБД «Ятоба» через PostgreSQL

Узнать больше