Уровни критичности уязвимостей
Узнать большеВажно, чтобы выпускаемые на рынок программные продукты были максимально надежными и защищенными от атак. Для достижения этой цели реализуется процесс безопасной разработки ПО. Он называется Application Security Testing (AST). Рассказываем, какие методики позволяют обеспечивать безопасность программных продуктов и как применить эти механизмы на практике.
Что такое Application Security Testing
AST — процесс безопасной разработки, подразумевающий контроль безопасности ПО на всех этапах жизненного цикла. Цель — максимально повысить уровень защищенности приложений, выявить и устранить уязвимости и недекларированные возможности, ускорить выпуск надежных программных продуктов.
Всесторонний анализ ПО осуществляется с помощью различных видов сканирований, которые позволяют детально исследовать исходный код и его отдельные фрагменты, зависимости, контейнеры, а также веб-приложения и функциональность продуктов в целом. Некоторые механизмы анализа можно применять с первых этапов разработки, чтобы устранять проблемы до перехода на следующий этап создания ПО.
Разновидности Application Security Testing, их особенности, сильные и слабые стороны
Чтобы контролировать безопасность приложений в рамках стратегии безопасной разработки DevSecOps, можно применять разные виды анализа кода: статический, динамический, проверка безопасности цепочки поставок и состава ПО.
Static Application Security Testing
Статический анализ кода (SAST) позволяет исследовать исходный код без необходимости выполнения ПО в рабочей среде.
Этот инструмент Application Security Testing считается универсальным — его можно выполнять на любой ступени разработки программы. Можно выделить следующие преимущества:
- Практически 100% охват кода, что позволяет обнаружить максимальное число уязвимостей в коде.
- Возможность проверять наследованное ПО и программы, разработанные подрядчиками.
- Возможность сравнивать результаты анализа в разные моменты времени и контролировать появление уязвимостей.
SAST-инструменты дают возможность обнаруживать небезопасные компоненты, уязвимости, ошибки. По результатам проверки формируются отчеты с перечнем найденных слабых мест в коде и подробными рекомендациями по их устранению.
SAST-тестирование позволяет эффективно проанализировать как приложения в процессе разработки, так и готовые программы, например, при приемке у подрядчика или перед началом эксплуатации. Если использовать анализатор Solar appScreener, можно проверять ПО, скачанное из магазинов приложений. Платформа предоставляет инструменты для исследования бинарного кода, поэтому доступ к исходникам не нужен. Чтобы проверить программу, достаточно просто загрузить в анализатор ссылку из магазина приложений.
Также использование Solar appScreener позволяет решить еще одну проблему, которая часто возникает при проведении статического тестирования — большое количество ложных срабатываний. В решении для эффективного контроля безопасности ПО реализован уникальный алгоритм Fuzzy Logic Engine, значительно снижающий вероятность ошибочных срабатываний анализатора.
Dynamic Application Security Testing
Метод Application Security Testing DAST, или динамическое сканирование относят к тестам по методу черного ящика, поскольку для проведения анализа не нужно иметь доступ к исходному коду приложения — достаточно просто запустить программу в специально смоделированной рабочей среде, которую специально создают для проверки.
Динамический анализ предполагает имитацию пользовательских действий или попыток взлома приложения. Задача — проверить, как программа будет реагировать и вести себя.
Плюсы DAST:
- Возможность обнаружить широкий спектр уязвимостей и проблем, связанных с пользовательскими запросами и ответами на них, работой модулей программы, инструментами аутентификации и т.д.
- Проведение сканирования без доступа к исходному коду.
- Меньшее количество ложных срабатываний анализатора, чем при использовании статического анализа.
Минусы динамического анализа кода:
- Необходимость разворачивать отдельную среду для тестирования, делать копию проверяемого приложения.
- Немалые временные затраты, с которыми связано проведение динамического анализа.
- Сложности, связанные с неполным покрытием кода приложения, из-за чего есть риск упустить часть уязвимостей.
DAST применяют на стадиях сборки, финального тестирования, предвыпуска и запуска в релиз. На начальном этапе создания ПО такой анализ не проводят, поскольку приложение еще нельзя запустить и проверить в эксплуатации.
В анализаторе Solar appScreener реализован модуль DAST. Он включает несколько видов инструментов, которые можно использовать в зависимости от целей тестирования: Fuzzer, AJAX, традиционный, агрессивный, пассивный. Fuzzer помогает проверить работу приложения при условии неожиданного входа, AJAX анализирует процессы обращения к серверам без необходимости перезагрузки открытых страниц. Традиционный сканер позволяет применять стандартный режим сканирования без ограничений, агрессивный — проверять новые обнаруженные узлы, активный — имитировать атаки в процессе тестирования.
Результаты Dynamic Application Security Testing собираются в отчет с детальным описанием найденных уязвимостей и проблем, рекомендациями по устранению слабых мест ПО.
Software Composition Analysis и Supply Chain Security
В рамках Application Security Testing часто используется подход SCA — проверка сторонних компонентов, содержащих открытый исходный код. Этот метод эффективен для достижения следующих целей:
- Обнаружение использованных при разработке кода сторонних компонентов, которые могут повлиять на безопасность приложения.
- Отслеживание всех open-source-компонентов ПО.
- Поиск проблем с лицензированием заимствованных элементов.
Метод SCS в рамках Application Security Testing — исследование цепочки поставок. Такой анализ проводится для проверки цепочки поставок, под которой подразумевают все процессы, происходящие с программным продуктом. Исследуются участвующие лица, инструменты, алгоритмы создания, компоненты. Анализатор присваивает каждой позиции оценку доверия – это рейтинг безопасности, на который можно ориентироваться. Благодаря этим показателям можно обнаружить потенциально опасные библиотеки, спрогнозировать уязвимости, которые еще не были обнаружены на момент сканирования, но могут появиться.
Эти два вида анализа в Solar appScreener объединены в единый модуль OSA. Чтобы выполнить сканирование, достаточно загрузить в анализатор SBOM-файл. Платформа проанализирует кодовую базу, применяя различные тактики идентификации, вычислит хеши, найдет источники сторонних компонентов и обнаружит, какие именно элементы были заимствованы. Затем проверит их по базам уязвимостей и выдаст перечень обнаруженных уязвимостей в этих компонентах.
Преимущества внедрения Solar appScreener для выстраивания комплексного Application Security Testing
Сильные стороны сертифицированного российского анализатора кода Solar appScreener:
- Возможность проводить несколько видов сканирований с помощью одного инструмента.
- Корреляция результатов статического и динамического анализа, формирование общего перечня обнаруженных проблем.
- Удобство использования, единый продуманный интерфейс для управления сканированиями.
- Возможность проверки не только разрабатываемого ПО, но и готового, в том числе наследованного.
- Контроль аутсорсеров и подрядчиков, которым поручено создать надежный программный продукт с высокой степенью защищенности от угроз.
Solar appScreener легко встраивается в стратегию безопасной разработки и позволяет реализовывать Application Security Testing на любом шаге создания ПО. Анализатор интегрируется со многими используемыми программистами инструментами, системами отслеживания ошибок, хостингами и др.
