Анализатор кода

Чтобы приложения соответствовали стандартам безопасности ПО и меньше подвергались хакерским атакам, разработчики еще с первых этапов разработки должны заняться поиском уязвимостей и недекларированных возможностей. Цель — найти и устранить бреши безопасности еще до релиза ПО, обеспечить надежную защиту данных и корректную работу всех функций. Обнаружить проблемы и снизить риски эксплуатации уязвимостей помогут различные методы анализа кода программ. Вручную выполнять тестирования сложно и долго, поэтому команды разработки и ИБ-специалисты используют специальные анализаторы, позволяющие автоматизировать процесс. В статье рассказываем, какие виды анализа чаще всего применяются, с помощью каких инструментов их выполнять.

Что такое анализ кода программ, зачем он выполняется

Анализ — процесс изучения программного кода с целью оценки его качества и сложности, поиска ошибок и уязвимостей. Его проводят на разных этапах разработки и после выпуска ПО. Ключевые цели:

• Выявить максимальное количество существующих уязвимостей и ошибок кода.
• Обнаружить и усовершенствовать недоработанные функции.
• Улучшить качество кода, чтобы повысить уровень защищенности ПО и добиться корректной работы всех функций.
• Соблюсти требования регуляторов в части технологической безопасности.

С помощью анализаторов разработчики могут находить слабые места в программном коде, оценивать лицензионные риски и безопасность использования open-source-компонентов, проверять работу готовых программ и др. Для всесторонней проверки необходимо комбинировать разные виды анализа.

Основные виды анализа кода программ

Анализаторы кода позволяют внедрять в цикл разработки различные виды проверок ПО, среди которых наиболее распространены статическое и динамическое тестирования, анализ безопасности заимствованных компонентов. Описываем суть и особенности каждого метода.

Статический анализ кода

Static Application Security Testing (SAST), или метод White Box, — анализ, обеспечивающий практически стопроцентное покрытие программного кода. Выполняется с помощью статического анализатора без запуска программы, подходит для первых этапов разработки, позволяет проверять отдельные части кода и наследованное ПО.

Для работы статического анализатора нужен доступ к коду. Если использовать платформу Solar appScreener, можно проверять и бинарный код. Перед анализом с помощью технологии реверс-инжиниринга осуществляется преобразование исполняемых файлов в исходный код.

Коротко опишем алгоритм статического анализа:

• Исходный код трансформируется во внутреннее представление.
• Анализатор применяет различные методы анализа, например лексический, синтаксический, семантический и др.
• Анализатор транслирует на код известные уязвимости, фиксирует обнаруженные проблемы.
• После тестирования анализатор создает отчет с перечнем выявленных уязвимостей и рекомендациями по их устранению.

Статический анализ кода программ можно применять на любом этапе разработки, даже тогда, когда другие виды тестирований еще неэффективны. Это главное преимущество такой проверки. Однако есть серьезный минус — частые ложноположительные срабатывания False Positive (FP). Анализатор кода может показывать проблему там, где ее нет. Команде приходится вручную проверять сигналы, из-за чего растут риски пропустить реальные уязвимости. В Solar appScreener количество FP удается минимизировать с помощью уникальной технологии Fuzzy Logic Engine. Также наличие реальных брешей безопасности можно установить с помощью корреляции отчетов по результатам нескольких видов тестирований.

Динамический анализ кода программ

Dinamic Application Security Testing (DAST), или Black Box, — тестирование, которое выполняется с помощью динамического анализатора кода и позволяет проверить отклик программы на пользовательские действия. Знать структуру кода и особенности работы приложения не нужно, поскольку они не учитываются при анализе. Главная цель — обнаружить уязвимости, которые проявят себя только после запуска программы.

Особенности проведения DAST:

• Анализ проводится в тестовой среде, чтобы снизить риск “уронить” приложение и скомпрометировать чувствительные данные.
• Динамический анализатор кода имитирует различные пользовательские действия, отправляя на вход программы заведомо ложные данные.
• С помощью различных инструментов анализатора имитируются хакерские атаки различной интенсивности, что позволяет обнаружить точки входа для реальных атак.

DAST полезен на финальных этапах разработки, для проверки наследованного ПО и программ, выпущенных подрядчиками. Также динамический анализ проводится, если по каким-то причинам (например, при отсутствии доступа к исходному коду) невозможно выполнить статический. Но все же для полного представления о безопасности приложений оптимально комбинировать два вида тестирований — DAST и SAST.

Динамический анализ программ можно выполнять с помощью анализатора кода Solar appScreener, где реализованы такие инструменты, как AJAX — для проверки работы кнопок и форм регистрации, Fuzzer — для тестирования программ на неожиданный вход, традиционный, пассивный и активный сканеры — для разных режимов имитированных атак.

Анализ безопасности сторонних компонентов

Это комплекс методов — Open Source Analysis (OSA). В него входят такие виды анализа, как:

• Исследование состава ПО — Software Composition Analysis (SCA) для проверки безопасности сторонних библиотек, используемых разработчиками.
• Анализ лицензионных рисков для мониторинга лицензионной политики open-source-компонентов и выявления таких проблем, как устаревшие или несовместимые лицензии.
• Контроль безопасности цепочки поставок — Supply Chain Security (SCS). Анализ для оценки потенциальных рисков supply-chain-атак.

Все эти виды тестирований можно выполнять с помощью одного анализатора кода — Solar appScreener. Рассказываем, как реализованы процессы.

Для выполнения SCA- и SCS-анализа нужно загрузить в анализатор SBOM-файл или, если его нет, архив с исходным программным кодом. Solar appScreener попытается автоматически создать спецификацию для тестирования.

В рамках SCA-анализа все заимствованные компоненты будут проверены по базам уязвимостей — общедоступным и собственным от экспертов «Солара». По окончании тестирования анализатор выдаст отчет с перечнем зависимостей и слабых мест open-source-составляющих.

SCS-анализ позволит получить оценку безопасности всех сторонних компонентов ПО и просчитать вероятность supply-chain-атак. Solar appScreener оценивает их по таким критериям, как авторский состав, популярность компонента, дата создания открытой библиотеки, заинтересованность в безопасности и т. д. Всего учитываются 8 критериев.

Как выбрать анализатор кода, насколько Solar appScreener соответствует основным требованиям

При выборе следует учитывать особенности разрабатываемых приложений и общие цели команды разработки. И все же есть основные критерии, на которые стоит ориентироваться:

• Охват языков программирования. Например, платформа Solar appScreener поддерживает 36 языков, что делает ее мировым лидером.
• Интеграция с инструментами разработки. Анализатор кода от ГК «Солар» интегрируется со всеми распространенными инструментами, имеет открытый API-интерфейс для расширения возможностей интеграции.
• Возможность корреляции отчетов по результатам различных тестирований кода. Solar appScreener обладает этой функцией и создает подробные отчеты с рекомендациями для разработчиков и «безопасников».
• Удобство интерфейса. Платформа от «Солара» устроена таким образом, что специалисты даже без специальных знаний могут управлять сканированиями.
• Поддержка ручных настроек. В Solar appScreener можно самостоятельно выставлять настройки с учетом целей сканирования.

Также важно, чтобы анализатор кода был ориентирован на российский рынок ПО. Solar appScreener соответствует этому критерию и подходит для импортозамещения.