Архитектура Solar appScreener

Solar appScreener состоит из двух основных частей: системы анализа, обрабатывающей исходный и бинарный коды, и системы отчетности, предоставляющей рекомендации по устранению уязвимостей и НДВ, а также настройке WAF. Возможности по интеграции с IDE, серверами CI/CD и системами отслеживания ошибок позволяют оперативно устранять найденные уязвимости и НДВ, обеспечивая Secure SDLC.

Архитектура Solar appScreener

Система анализа кода

В основе системы статического анализа Solar appScreener лежат 10+ методов статического анализа, технологии анализа исполняемых файлов на основе деобфускации и декомпиляции, а также собственная технология Fuzzy Logic Engine для снижения числа ложных срабатываний (false positive) и пропуска уязвимостей (false negative).

Технология статического анализа исходного кода

Статический анализ исходного кода с помощью Solar appScreener включает в себя лексический, синтаксический, семантический и анализы, taint-анализ, распространение констант, распространение типов, анализ синонимов и анализ графов потока управления.

В настоящее время Solar appScreener поддерживает статический анализ исходного кода, написанного на 34 языках программирования: ABAP, Apex, ASP.NET, COBOL, С#, C/C++, Objective-C, Delphi, Go, Groovy, HTML5, Java, Java for Android, JavaScript, JSP, Kotlin, Pascal, Perl, PHP, PL/SQL, T/SQL, Python, Ruby, Rust, Scala, Solidity, Swift, TypeScript, VBA, VB.NET, VBScript, Visual Basic 6.0, Vyper, 1C.

Возможна загрузка проектов в архивах форматов 7Z, EAR, AAR, RAR, TAR.BZ2, TAR.GZ, TAR, CPIO.

Технология анализа исполняемых файлов

Статический анализ исполняемых файлов осуществляется с применением запатентованной технологии реверс-инжиниринга (декомпиляции). Она позволяет с высокой точностью восстанавливать исходный код из исполняемых файлов, даже если его пытались обфусцировать, то есть запутать.

Solar appScreener легко детектирует язык приложения и без труда понимает программы-полиглоты, написанные на нескольких языках. Для анализа достаточно загрузить код в Solar appScreener, нажать кнопку «Сканировать» и дождаться окончания работы анализатора. Если речь идет о приложениях для Google Android и Apple iOS, то для их анализа достаточно указать ссылку на соответствующий магазин приложений.

Технологии анализа исполняемых файлов позволяют применять SAST, даже когда разработка закончена и нет возможности проанализировать исходный код проекта. Кроме того, можно исследовать код сторонних компонентов, использованных при создании приложения (например, код свободно распространяемых библиотек).

Поддерживается статический анализ исполняемых файлов следующих форматов: JAR/WAR (Java), DLL/EXE (C/C++), APK (Android), IPA (Apple iOS), APP (Apple macOS), AAR, EAR.

SAST исполняемых файлов, предоставляемый Solar appScreener, позволяет избежать основных недостатков DAST — неполноты охвата возможных уязвимостей и низкой скорости анализа.

Обратите внимание: для декомпиляции стороннего кода необходимо получить согласие правообладателя этого кода. Если это невозможно, то модуль декомпиляции необходимо отключать. В этом случае будет доступен только перечень уязвимостей и НДВ исполняемого файла без их трансляции на исходный код.

Технология Fuzzy Logic Engine

Для минимизации количества ложных срабатываний и пропуска уязвимостей и НДВ в коде в Solar appScreener реализована уникальная технология Fuzzy Logic Engine. Технология использует математический аппарат нечеткой логики и является технологическим ноу-хау компании «Ростелеком-Солар». Параметры работы фильтров определяются базой знаний, которая постоянно пополняется по результатам проведенных проектов.

Количество ложных срабатываний и пропусков уязвимостей — одна из ключевых характеристик анализатора кода, поэтому развитие и совершенствование Fuzzy Logic Engine является важным приоритетом развития Solar appScreener.

С выходом новой версии Solar appScreener появилась возможность работать с фильтрами Fuzzy Logic Engine, чтобы еще больше снизить число ложных срабатываний и пропусков уязвимостей и НДВ.

Система отчетности

Система отчетности Solar appScreener позволяет получать рекомендации в формате как для службы ИБ, так и команды разработки:

1
отчетность в формате разработки содержит детальные описания уязвимостей и НДВ, ссылки на содержащие их участки, а также рекомендации по их устранению путем внесения изменений в код;
2
отчетность в формате ИБ представляет собой детальные рекомендации по устранению уязвимостей и НДВ с описанием способов их эксплуатации. Также данный формат содержит детальные рекомендации по настройке WAF, что позволяет заблокировать возможность эксплуатации уязвимостей в приложениях во время исправления кода.

Кроме этого:

1
графически подсвечивать найденные уязвимости и НДВ непосредственно в коде проанализированного приложения;
2
сравнивать результаты проведенных тестирований в рамках одного проекта для отслеживания динамики устранения или появления уязвимостей. При этом учитываются изменения, характерные для процесса написания кода;
3
выгружать отчеты в формате PDF, в том числе сверстанные в соответствии с классификацией уязвимостей по версии PCI DSS, БДУ ФСТЭК России, OWASP Top 2017 и Mobile Top 10 2016, HIPAA или CWE/SANS Top 25;
4
получать уведомления с обновлением статуса проверки по электронной почте.

Возможности интеграции

Solar appScreener обладает широкими возможностями по интеграции с репозиториями, системами отслеживания ошибок, интегрированными средами разработки и сервисами CI/CD.

Интеграция с репозиториями разработки Git и Subversion

Код для анализа загружается напрямую из репозитория, избавляя от необходимости каждый раз загружать файлы с исходным кодом.

Интеграция с VCS хостингами GitLab, GitHub, Bitbucket

Можно настроить автоматическое сканирование с помощью механизма webhook для получения информации в режиме реального времени. Также поддерживаются push- и tag-события.

Интеграция с системами отслеживания ошибок

В базовой версии Solar appScreener поддерживает интеграцию с Atlassian Jira, но при необходимости можно интегрировать любую другую систему отслеживания ошибок. Такая интеграция позволяет офицеру безопасности напрямую заводить задачи по устранению найденных уязвимостей и НДВ и отслеживать ход их выполнения. Например, он может открыть кейс для команды разработки по внесению изменений в код или для системных администраторов для внесения соответствующих правил в WAF.

Интеграция в процессы CI/CD и SDLC

1
поддержка интегрированных сред разработки Eclipse, Microsoft Visual Studio и Xcode;
2
поддержка серверов непрерывной интеграции и доставки Jenkins, Azure DevOps Server 2019 и TeamCity;
3
поддержка интеграции c платформой непрерывного анализа и измерения качества кода SonarQube;
4
встроенный открытый API (включает в себя JSON API и CLI) предоставляет широкие возможности по дополнительной интеграции и автоматизации.
Solar appScreener

Solar appScreener

Инструмент проверки безопасности приложений нового поколения

Спасибо!
Ваша заявка принята

В ближайшее время с Вами свяжется наш менеджер

Спасибо!

Теперь вы будете в числе первых получать новости о наших продуктах