Возможности Solar appScreener

Возможности Solar appScreener

Solar appScreener находит уязвимости и НДВ как в исходном коде приложения, так и в исполняемых файлах (бинарном коде), после чего дает подробные рекомендации для разработчиков и офицеров безопасности.

Анализ исходного кода

source_analysis.png Solar appScreener может анализировать исходный код, написанный на 31 языке программирования, включая как популярные (Java, Scala, Python, PHP, C#, Swift, Ruby и др.), так и специализированные (1C, ABAP, Solidity, Apex, PL/SQL и др.) или устаревшие (Delphi, COBOL, Visual Basic 6.0).

Анализ исполняемых файлов

binary_analysis.png Технологии декомпиляции и деобфускации бинарного кода приложений позволяют использовать Solar appScreener для анализа исполняемых файлов, в том числе для Google Android, Apple iOS и Apple macOS. Для проверки мобильных приложений достаточно скопировать в анализатор ссылку на соответствующую страницу в Google Play или App Store. Результаты анализа отображаются на основе восстановленного исходного кода.

Выявление уязвимостей

Vulnerabilities.png Уязвимости выявляются на основе правил поиска после завершения всех процедур анализа и работы Fuzzy Logic Engine. Применение технологии SCA позволяет выявлять уязвимости не только в собственном коде, но и в компонентах на основе свободного ПО и сторонних библиотек.

Выявление недекларированных возможностей

Backdoors.png НДВ выявляются по наличию одной из характерных базовых конструкций: хардкодных учетных записей, скрытой сетевой активности, временных бомб и т. д. Наличие базовых конструкций НДВ может свидетельствовать о присутствии более сложной составной закладки.

Проверка унаследованного и заказного ПО

old_software.png Реализованные в Solar appScreener технологии SCA и анализа бинарного кода позволяют проверять на уязвимости и НДВ унаследованные приложения и заказные разработки, в том числе использующие сторонние компоненты (СПО, готовые коды из интернета, модули, библиотеки).

Сравнение результатов проверок

comparison.png С помощью Solar appScreener можно сравнивать результаты проведенных тестирований и строить различные графики, что позволяет удобно отслеживать динамику устранения или появления уязвимостей и НДВ, том числе по группам проектов. При этом учитываются изменения, характерные для процесса написания кода, а в рамках одного проекта отслеживаются сами уязвимости и НДВ, что дает возможность контролировать ход их устранения.

Построение отчетов

reports.png Отчеты по уязвимостям и НДВ формируются автоматически, а их содержание выбирает пользователь. Результаты представляются в интерфейсе Solar appScreener либо выгружаются в формате PDF. Доступна выгрузка в соответствии с классификацией уязвимостей по версии PCI DSS, БДУ ФСТЭК России, OWASP Top 10 и Mobile Top 10, HIPAA или CWE/SANS Top 25, а также гибкая выгрузка отчетных данных через JSON.

Разграничение прав разработчиков

rights.png Для повышения уровня информационной безопасности можно разграничить права доступа разработчиков к Solar appScreener. Поддержка Microsoft Active Directory позволяет упростить управление правами доступа при большом количестве разработчиков.

Подготовка рекомендаций для разработчиков

recomendations.png Разработчики заинтересованы сдавать проекты максимально быстро и с минимальными замечаниями. Поэтому рекомендации для разработчиков содержат описания уязвимостей и НДВ, ссылки на содержащие их участки кода, а также конкретные советы по его изменению.

Подготовка рекомендаций для офицеров безопасности

recomendations_2.png Офицерам безопасности необходима максимально полная информация о найденных уязвимостях и НДВ. Рекомендации для них содержат детальные описания найденных уязвимостей и НДВ, включая способы их реализации, а также рекомендации по настройке WAF от Imperva, ModSecurity или F5.

Работа с системами отслеживания ошибок

bugtracking.png В базовую версию Solar appScreener входит интеграция с Atlassian Jira. Это позволяет заводить в ней задачи по устранению найденных уязвимостей непосредственно из интерфейса Solar appScreener и отслеживать ход их выполнения. При необходимости можно реализовать поддержку любой другой системы отслеживания ошибок.

Интеграция в процесс разработки

Integrations.png Solar appScreener можно связать с репозиторием Git, интегрированными средами разработки Eclipse, Microsoft Visual Studio и Xcode, а также серверами CI/CD Jenkins, Azure DevOps Server 2019 и TeamCity, что позволяет встроить его в процесс разработки и реализовать полноценный Secure SDLC. С помощью открытого API доступна интеграция с другими системами и сервисами.

Solar appScreener

Solar appScreener

Инструмент проверки безопасности приложений нового поколения

Спасибо!
Ваша заявка принята

В ближайшее время с Вами свяжется наш менеджер

Спасибо!

Теперь вы будете в числе первых получать новости о наших продуктах