ДЕЙСТВУЕМ НА ОПЕРЕЖЕНИЕ

Широкие возможности Solar appScreener

  • [01]

    Помогает выстроить безопасную разработку

    Помогает выстроить безопасную разработку

    Позволяет выстроить цикл безопасной разработки благодаря интеграции инструментов SAST, DAST, SCA и SCS

  • [02]

    Сокращает число ложных срабатываний

    Сокращает число ложных срабатываний

    Снижает количество ложных срабатываний благодаря запатентованной технологии Fuzzy Logic Engine

  • [03]

    Проводит корреляцию результатов SAST и DAST

    Проводит корреляцию результатов SAST и DAST

    Подтверждает уязвимости, найденные статическим анализом, с помощью DAST и подсвечивает недостатки кода, которые надо устранить в первую очередь

  • [04]

    Создает подробный отчет

    Создает подробный отчет

    Формирует детальный отчет с результатами разных видов анализа кода и списком найденных уязвимостей в коде

ТЕХНОЛОГИЧЕСКАЯ ПЛАТФОРМА

Технологическая основа Solar appScreener

В основе подхода —  единая технологическая платформа для комплексного анализа безопасности приложений

  • Единый интерфейс для удобного управления сканированиями

  • Корреляция результатов разных видов анализа и подробный отчет

  • Технология Fuzzy Logic Engine для сокращения ложных срабатываний

  • Статический анализ кода (SAST)

    помогает найти уязвимости и недекларированные возможности в исходном коде мобильных и веб-приложений на раннем этапе разработки. Технологии анализа исполняемых файлов позволяют применять SAST, даже когда разработка закончена и нет возможности проанализировать исходный код проекта.

  • Динамический анализ кода (DAST)

    анализирует веб-приложения, отправляя заведомо неверные данные и проверяя реакцию приложения на них.

  • Модуль анализа сторонних компонентов (OSA)

    модуль OSA включает в себя технологии анализа состава ПО (SCA), анализа цепочки поставок ПО (SCS), анализ лицензионных рисков и другие возможности для безопасного использования сторонних компонентов в вашем ПО.

Коннекторы к технологическим модулям

передают результаты сканирований между ядром и технологическими модулями.

  • Единый интерфейс для удобного управления сканированиями

  • Корреляция результатов разных видов анализа и подробный отчет

  • Технология Fuzzy Logic Engine для сокращения ложных срабатываний

  • Статический анализ кода (SAST)

    помогает найти уязвимости и недекларированные возможности в исходном коде мобильных и веб-приложений на раннем этапе разработки. Технологии анализа исполняемых файлов позволяют применять SAST, даже когда разработка закончена и нет возможности проанализировать исходный код проекта.

  • Динамический анализ кода (DAST)

    анализирует веб-приложения, отправляя заведомо неверные данные и проверяя реакцию приложения на них.

  • Модуль анализа сторонних компонентов (OSA)

    модуль OSA включает в себя технологии анализа состава ПО (SCA), анализа цепочки поставок ПО (SCS), анализ лицензионных рисков и другие возможности для безопасного использования сторонних компонентов в вашем ПО.

Коннекторы к технологическим модулям

передают результаты сканирований между ядром и технологическими модулями.

ТЕХНОЛОГИЧЕСКИЕ МОДУЛИ

Комплексный подход к безопасности строится на лучших технологиях

Статический анализ кода (SAST)

Статический анализ кода (SAST)

Модуль SAST в Solar appScreener помогает найти уязвимости и недекларированные возможности в исходном коде мобильных и веб-приложений даже на ранних этапах разработки.

Solar appScreener – единственный в мире анализатор с поддержкой кода, написанного на 36 языках программирования:

ABAP, Apex, ASP.NET, COBOL, С#, C/C++, Objective-C, Dart, Delphi, Go, Groovy, HTML5, Java, Java for Android, JavaScript, JSP, Kotlin, LotusScript, Pascal, Perl, PHP, PL/SQL, T/SQL, Python, Ruby, Rust, Scala, Solidity, Swift, TypeScript, VBA, VB.NET, VBScript, Visual Basic 6.0, Vyper, 1C.

Статический анализ бинарного кода (бинарный SAST)

Бинарный анализ – уникальная технология в Solar appScreener, благодаря которой можно проверить безопасность ПО, когда нет доступа к его исходному коду. Например, если разработка уже завершена или код разрабатывал подрядчик, а исходников не осталось.

Бинарный анализ проводится с применением запатентованной технологии реверс-инжиниринга, которая с высокой точностью восстанавливает исходный код из исполняемых файлов в 10 форматах: JAR, WAR, EAR, AAR, DLL, EXE, APK, AAB, IPA, APP.

Динамический анализ кода (DAST)

Модуль DAST анализирует веб-приложения, отправляя заведомо неверные данные и проверяя реакцию приложения на них.

Проекты динамического анализа в Solar appScreener можно привязать к проектам статического анализа и на основе корреляции их результатов получить более точную картину безопасности приложения.

Анализ состава ПО (SCA)

Технология SCA анализирует используемые open-source-библиотеки и зависимости на наличие уязвимостей и снижает риск использования уязвимых компонентов в коде приложения.

Анализ проводится на основе нескольких источников – стандартных баз уязвимостей и собственной базы от экспертов ГК "Солар", которая включает в том числе информацию об актуальных угрозах, ориентированных на российские компании.

Анализ безопасности цепочки поставок ПО (SCS)

Технология Supply Chain Security (SCS) оценивает риски, связанные с open source, и формирует рейтинг безопасности каждого стороннего компонента. Рейтинг строится на базе восьми конкретных метрик: репутация автора, активность сообщества, внимание к безопасности и др.

Анализ лицензионных рисков

Эта технология помогает отслеживать лицензионные политики при использовании open-source-компонентов, оценивает критичность использования той или иной библиотеки и позволяет избежать юридических рисков, связанных с лицензиями.

Анализ состава ПО в сочетании с Supply Chain Security и оценкой лицензионных рисков обеспечивает всесторонний контроль безопасности open source в вашем коде с помощью одного решения.

Схема работы Solar appScreener

Схема работы Solar appScreener

ИНТЕГРАЦИЯ

Широкие возможности интеграции с инструментами разработки

Интеграция с репозиториями разработки Git и Subversion

Код для анализа загружается напрямую из репозитория, избавляя от необходимости каждый раз загружать файлы с исходным кодом.

Интеграция с VCS-хостингами GitLab, GitHub, Bitbucket

Можно настроить автоматическое сканирование с помощью механизма webhook для получения информации в режиме реального времени. Также поддерживаются push- и tag-события.

Интеграция с системами отслеживания ошибок

Продукт поддерживает интеграцию с Atlassian Jira и ТУРБО Трекинг, но при необходимости можно интегрировать любую другую систему отслеживания ошибок. Это позволяет напрямую заводить задачи по устранению найденных уязвимостей и отслеживать ход их выполнения.

Интеграция в процессы CI/CD и SDLC
  • Поддержка интегрированных средств разработки Eclipse, Microsoft Visual Studio и IntelliJ IDEA
  • Поддержка средств сборки Xcode, CMake, Microsoft Visual Studio, GNU Make, GNU Autotools, Gradle, sbt, Maven
  • Поддержка серверов непрерывной интеграции и доставки Jenkins, Azure DevOps Server 2019 и TeamCity
  • Поддержка интеграции c платформой непрерывного анализа и измерения качества кода SonarQube
Открытый встроенный API

В Solar appScreener встроен открытый API. Он включает в себя JSON API и интерфейс командной строки и предоставляет широкие возможности по дополнительной интеграции и автоматизации.

Под нашей защитой

Протестируйте Solar appScreener бесплатно