Описание Solar appScreener

Назначение

Solar appScreener (до версии 3.0 — Solar inCode) — статический анализатор безопасности приложений. Его возможности позволяют эффективно выявлять уязвимости и недекларированные возможности (НДВ) и подсвечивать их в коде. Отличительная особенность Solar appScreener — статический анализ не только исходного кода, но и исполняемых файлов (бинарного кода). Это обеспечивает более качественные и быстрые результаты, чем в случае использования динамических анализаторов (DAST).

Поддерживается анализ приложений, написанных на 26 языках программирования или скомпилированных в одном из 7 различных форматов исполняемых файлов, в том числе для Google Android, Apple iOS и Apple macOS. Проверка кода мобильных приложений может осуществляться простым копированием в меню анализатора ссылки на них в магазинах Google Play или App Store.

Поддерживаемые языки программирования

Поддерживаемые форматы исполняемых файлов

Уязвимости и НДВ обнаруживаются с помощью более 10 методов анализа, в том числе: лексического, синтаксического, семантического, taint-анализа, распространения констант, распространения типов, анализа синонимов и анализа графов потока управления. Доступен выбор глубины анализа и отключение сложных проверок, а также инкрементальный анализ, при котором проверяется только изменившийся код. Технология анализа состава ПО (SCA) обнаруживает применение сторонних компонентов, таких как свободное ПО и готовый код из Интернета, и определяет их названия, версии, уязвимости и лицензирование.

Найденные уязвимости и НДВ графически подсвечиваются непосредственно в коде проанализированного приложения, в том числе оно было в виде исполняемых файлов (файл debug info для этого не нужен). Возможно сравнение результатов тестирования одного проекта с учетом изменений, стандартных при написании кода, и отправка уведомлений на электронную почту.

Для устранения найденных уязвимостей и НДВ нужно не только их обнаружить, но и грамотно описать правила, при которых они работают или закрываются. Solar appScreener дает детальные рекомендации по устранению уязвимостей и НДВ с описанием способов их эксплуатации, а также рекомендации по настройке межсетевого экрана уровня приложений (WAF).

Один из главных параметров анализаторов приложений — количество ложноположительных и ложноотрицательных срабатываний. Для этой цели в Solar appScreener применяется собственная технология —  Fuzzy Logic Engine. Она задействует математический аппарат нечетких множеств и нечеткой логики и является технологическим ноу-хау компании Ростелеком-Solar. Параметры работы фильтров Fuzzy Logic Engine определяются базой знаний, которая постоянно пополняется по результатам проведенных исследований. Офицер безопасности может самостоятельно работать с фильтрами для снижения числа ложных срабатываний и пропусков уязвимостей и НДВ. 

Solar appScreener легко интегрируется с репозиторием Git, серверами CI/CD Jenkins и TeamCity и системой отслеживания ошибок Atlassian Jira. Это помогает быстро анализировать исходный код и обеспечить безопасный жизненный цикл разработки ПО. Поддержка Microsoft Active Directory позволяет упростить управление правами доступа к Solar appScreener при большом числе разработчиков.

Для взаимодействия с другими системами и сервисами доступен встроенный открытый API.

Области применения

Solar appScreener незаменим, если:

Организация предоставляет онлайн-сервисы внешним пользователям: интернет-банк, личный кабинет пользователя, онлайн-продажа товаров и услуг, сервисы мобильной коммерции и т. д.;

Необходимо проверять безопасность приложений на наличие уязвимостей и НДВ, оставленных разработчиками, при отсутствии доступа к исходным кодам;

Необходимо выполнить требования стандартов СТО БР ИББС, PCI DSS и ГОСТ Р 56939-2016 в части анализа кода приложения;

Нужно усилить авторитет и влияние службы ИБ на внешних или внутренних разработчиков;

Необходимо корректно и в кратчайшие сроки настроить системы защиты и мониторинга онлайн-сервисов.

Интерфейс

Графический интерфейс Solar appScreener в первую очередь рассчитан на службу ИБ, а не на разработчиков. В его основе — облегченная логика взаимодействия с пользователем, не требующая глубоких технических знаний для интерпретации результатов анализа. По этой причине интерфейс Solar appScreener отличается простотой и удобством, а сам процесс анализа максимально автоматизирован, что позволяет проверять код приложения в несколько кликов.

В новой версии Solar appScreener реализована удобная навигация по проектам и результатам анализа, более наглядная и подробная статистическая информация о проектах и дополнительные фильтры для проектов, а также существенно переработана страница администрирования. При желании пользователь нажатием одной кнопки может вернуть старую версию интерфейса.

Доступны русский и английский языки интерфейса. Предпочитаемый язык можно менять прямо во время работы с анализатором.

При необходимости с Solar appScreener можно работать через командную строку (CLI).

Лицензирование и поставка

Solar appScreener можно развернуть как на собственных вычислительных мощностях организации, так и пользоваться им как сервисом, доступным из облака Ростелеком-Solar (SaaS). В случае размещения на собственном сервере организации лицензирование осуществляется по количеству пользователей с доступом к системе, в случае SaaS — оплачивается количество произведенных проверок кода.

Для небольших вендоров и использующих заказные разработки компаний модель SaaS наиболее оптимальна: у них потребность в проверке кода приложений возникает лишь периодически. Таким компаниям достаточно приобрести лицензии на необходимое число проверок кода, через веб-интерфейс загрузить код в облако и дождаться окончания анализа. Взаимодействие веб-интерфейса и сервера происходит с применением защищенного протокола HTTPS. При необходимости с помощью технологий виртуальных частных сетей (VPN) можно организовать защищенный канал связи с сервисом тестирования.

Соответствие требованиям регуляторов

Solar appScreener разработан в России с применением собственных запатентованных технологий, внесен в Единый реестр отечественного ПО (№ 516), сертифицирован ФСТЭК России как программное средство контроля защищенности, соответствующее требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1» (Гостехкомиссия России, 1999) по 4 уровню контроля отсутствия НДВ и ТУ (сертификат соответствия № 4007).

Solar appScreener также станет отличным выбором для компаний, стремящихся выполнять требования различных стандартов безопасности. С его помощью можно сгенерировать отчет, сверстанный в соответствии с классификацией уязвимостей по версии PCI DSS, OWASP Top 10, OWASP Mobile Top 10, HIPAA или CWE/SANS Top 25, что упрощает обеспечение соответствия требованиям регуляторов.