ДЕЙСТВУЕМ НА ОПЕРЕЖЕНИЕ
Широкие возможности Solar appScreener
-
[01]
Помогает выстроить безопасную разработку
Помогает выстроить безопасную разработку
Позволяет выстроить цикл безопасной разработки благодаря интеграции инструментов SAST, DAST, SCA и SCS
-
[02]
Сокращает число ложных срабатываний
Сокращает число ложных срабатываний
Снижает количество ложных срабатываний благодаря запатентованной технологии Fuzzy Logic Engine
-
[03]
Проводит корреляцию результатов SAST и DAST
Проводит корреляцию результатов SAST и DAST
Подтверждает уязвимости, найденные статическим анализом, с помощью DAST и подсвечивает недостатки кода, которые надо устранить в первую очередь
-
[04]
Создает подробный отчет
Создает подробный отчет
Формирует детальный отчет с результатами разных видов анализа кода и списком найденных уязвимостей в коде
ТЕХНОЛОГИЧЕСКАЯ ПЛАТФОРМА
Технологическая основа Solar appScreener
В основе подхода — единая технологическая платформа для комплексного анализа безопасности приложений
-
Единый интерфейс для удобного управления сканированиями
-
Корреляция результатов разных видов анализа и подробный отчет
-
Технология Fuzzy Logic Engine для сокращения ложных срабатываний
-
Статический анализ кода (SAST)
помогает найти уязвимости и недекларированные возможности в исходном коде мобильных и веб-приложений на раннем этапе разработки. Технологии анализа исполняемых файлов позволяют применять SAST, даже когда разработка закончена и нет возможности проанализировать исходный код проекта.
-
Динамический анализ кода (DAST)
анализирует веб-приложения, отправляя заведомо неверные данные и проверяя реакцию приложения на них.
-
Модуль анализа сторонних компонентов (OSA)
модуль OSA включает в себя технологии анализа состава ПО (SCA), анализа цепочки поставок ПО (SCS), анализ лицензионных рисков и другие возможности для безопасного использования сторонних компонентов в вашем ПО.
Коннекторы к технологическим модулям
передают результаты сканирований между ядром и технологическими модулями.
-
Единый интерфейс для удобного управления сканированиями
-
Корреляция результатов разных видов анализа и подробный отчет
-
Технология Fuzzy Logic Engine для сокращения ложных срабатываний
-
Статический анализ кода (SAST)
помогает найти уязвимости и недекларированные возможности в исходном коде мобильных и веб-приложений на раннем этапе разработки. Технологии анализа исполняемых файлов позволяют применять SAST, даже когда разработка закончена и нет возможности проанализировать исходный код проекта.
-
Динамический анализ кода (DAST)
анализирует веб-приложения, отправляя заведомо неверные данные и проверяя реакцию приложения на них.
-
Модуль анализа сторонних компонентов (OSA)
модуль OSA включает в себя технологии анализа состава ПО (SCA), анализа цепочки поставок ПО (SCS), анализ лицензионных рисков и другие возможности для безопасного использования сторонних компонентов в вашем ПО.
Коннекторы к технологическим модулям
передают результаты сканирований между ядром и технологическими модулями.
ТЕХНОЛОГИЧЕСКИЕ МОДУЛИ
Комплексный подход к безопасности строится на лучших технологиях
Статический анализ кода (SAST)
Статический анализ кода (SAST)
Модуль SAST в Solar appScreener помогает найти уязвимости и недекларированные возможности в исходном коде мобильных и веб-приложений даже на ранних этапах разработки.
Solar appScreener – единственный в мире анализатор с поддержкой кода, написанного на 36 языках программирования:
ABAP, Apex, ASP.NET, COBOL, С#, C/C++, Objective-C, Dart, Delphi, Go, Groovy, HTML5, Java, Java for Android, JavaScript, JSP, Kotlin, LotusScript, Pascal, Perl, PHP, PL/SQL, T/SQL, Python, Ruby, Rust, Scala, Solidity, Swift, TypeScript, VBA, VB.NET, VBScript, Visual Basic 6.0, Vyper, 1C.
Статический анализ бинарного кода (бинарный SAST)
Бинарный анализ – уникальная технология в Solar appScreener, благодаря которой можно проверить безопасность ПО, когда нет доступа к его исходному коду. Например, если разработка уже завершена или код разрабатывал подрядчик, а исходников не осталось.
Бинарный анализ проводится с применением запатентованной технологии реверс-инжиниринга, которая с высокой точностью восстанавливает исходный код из исполняемых файлов в 10 форматах: JAR, WAR, EAR, AAR, DLL, EXE, APK, AAB, IPA, APP.
Динамический анализ кода (DAST)
Модуль DAST анализирует веб-приложения, отправляя заведомо неверные данные и проверяя реакцию приложения на них.
Проекты динамического анализа в Solar appScreener можно привязать к проектам статического анализа и на основе корреляции их результатов получить более точную картину безопасности приложения.
Анализ состава ПО (SCA)
Технология SCA анализирует используемые open-source-библиотеки и зависимости на наличие уязвимостей и снижает риск использования уязвимых компонентов в коде приложения.
Анализ проводится на основе нескольких источников – стандартных баз уязвимостей и собственной базы от экспертов ГК "Солар", которая включает в том числе информацию об актуальных угрозах, ориентированных на российские компании.
Анализ безопасности цепочки поставок ПО (SCS)
Технология Supply Chain Security (SCS) оценивает риски, связанные с open source, и формирует рейтинг безопасности каждого стороннего компонента. Рейтинг строится на базе восьми конкретных метрик: репутация автора, активность сообщества, внимание к безопасности и др.
Анализ лицензионных рисков
Эта технология помогает отслеживать лицензионные политики при использовании open-source-компонентов, оценивает критичность использования той или иной библиотеки и позволяет избежать юридических рисков, связанных с лицензиями.
Анализ состава ПО в сочетании с Supply Chain Security и оценкой лицензионных рисков обеспечивает всесторонний контроль безопасности open source в вашем коде с помощью одного решения.
Схема работы Solar appScreener
ИНТЕГРАЦИЯ
Широкие возможности интеграции с инструментами разработки
Интеграция с репозиториями разработки Git и Subversion
Код для анализа загружается напрямую из репозитория, избавляя от необходимости каждый раз загружать файлы с исходным кодом.
Интеграция с VCS-хостингами GitLab, GitHub, Bitbucket
Можно настроить автоматическое сканирование с помощью механизма webhook для получения информации в режиме реального времени. Также поддерживаются push- и tag-события.
Интеграция с системами отслеживания ошибок
Продукт поддерживает интеграцию с Atlassian Jira и ТУРБО Трекинг, но при необходимости можно интегрировать любую другую систему отслеживания ошибок. Это позволяет напрямую заводить задачи по устранению найденных уязвимостей и отслеживать ход их выполнения.
Интеграция в процессы CI/CD и SDLC
- Поддержка интегрированных средств разработки Eclipse, Microsoft Visual Studio и IntelliJ IDEA
- Поддержка средств сборки Xcode, CMake, Microsoft Visual Studio, GNU Make, GNU Autotools, Gradle, sbt, Maven
- Поддержка серверов непрерывной интеграции и доставки Jenkins, Azure DevOps Server 2019 и TeamCity
- Поддержка интеграции c платформой непрерывного анализа и измерения качества кода SonarQube
Открытый встроенный API
В Solar appScreener встроен открытый API. Он включает в себя JSON API и интерфейс командной строки и предоставляет широкие возможности по дополнительной интеграции и автоматизации.
Под нашей защитой
Протестируйте Solar appScreener бесплатно
Самые важные новости кибербезопасности у вас в почте
Выберите темы, на которые бы вам было интересно получать новости.
Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.